Un caso reale di compromissione di una casella Outlook, analisi e raccomandazioni operative

Recentemente ci siamo trovati ad affrontare un episodio piuttosto complesso relativo alla casella di posta elettronica di un cliente. Il comportamento osservato inizialmente poteva essere interpretato come un normale tentativo di phishing o spam, ma l'analisi tecnica ha mostrato che la situazione era più articolata.

Ogni email ricevuta nella casella veniva automaticamente sostituita con un messaggio di estorsione (il classico schema di sextortion scam), contenente richieste di pagamento in criptovaluta ed affermazioni false riguardo a presunti accessi a webcam, documenti personali e cronologia di navigazione.

La particolarità del caso era che qualsiasi email in arrivo veniva modificata: anche messaggi di prova inviati da account diversi arrivavano correttamente per pochi istanti e poi venivano sostituiti con il medesimo testo fraudolento.

Un ulteriore elemento significativo era la comparsa periodica di messaggi nella cartella Bozze, che venivano poi spostati nella Posta in arrivo. Questo indicava chiaramente che un processo con accesso alla mailbox stava creando nuovi messaggi e sostituendo quelli originali.

Dopo diverse ore di analisi, incluse verifiche sugli header SMTP, controlli delle impostazioni di sicurezza e revoche progressive delle sessioni, il problema è stato risolto revocando tutte le sessioni attive e disconnettendo completamente gli accessi alla casella, interrompendo così l'attività dell'attaccante.

L'episodio offre alcuni spunti utili sia in termini di prevenzione sia di gestione operativa di incidenti simili.

L'abbiamo sempre avuto, bastava conoscere la parola magica

Windows nasconde da anni un piccolo paradosso: tutti usano Esplora file per copiare cartelle pesanti, poi si lamentano perché è lento, si incarta, sembra riflettere sul senso della vita… ed intanto nel sistema c'è già Robocopy, uno strumento integrato pensato proprio per fare copie serie.

Non è nuovo, non è bello, non è pubblicizzato, non ha i bottoncini rassicuranti delle interfacce moderne, ma fa una cosa molto apprezzata da chi programma: lavora.

Microsoft lo documenta come comando integrato per copiare file e directory, con opzioni avanzate e supporto al multi-threading tramite `/MT`, che consente di velocizzare parecchio i trasferimenti in molti scenari.

La parte quasi comica è che molti utenti cercano utility esterne, benchmark, tutorial arcani e forse anche conforto spirituale, senza sapere che la soluzione era già lì, preinstallata, in attesa dentro il prompt come un vecchio amministratore di sistema che non parla molto ma risolve i problemi.

Robocopy è particolarmente utile quando i file sono tanti, le directory profonde o il trasferimento deve essere più affidabile del classico trascina-e-prega.

Un esempio vale più di mille parole

robocopy "C:\Sorgente" "D:\Destinazione" /E /MT:16 /R:5 /W:5 

Copia tutto, incluse le sottocartelle, usa 16 thread e riprova 5 volte in caso di errore.

Due opzioni "salvavita":

• /Z (restartable mode): se salta la connessione di rete o la corrente, la copia riprende da dove si era fermata, senza ricominciare da zero;
• /LOG: utile per chi deve certificare che la copia sia andata a buon fine (compliance / backup).

Spegnimento di emergenza, funzione nascosta che può salvare il PC bloccato

Cominciamo con una domanda retorica: avete mai sperimentato il blocco completo di Windows? :-)

In questi casi, il gesto più istintivo è tener premuto il tasto di alimentazione e forzare lo spegnimento. Eppure...

Windows include una funzione di emergenza, pensata proprio per queste situazioni!

Cos'è lo spegnimento di emergenza di Windows

Lo spegnimento di emergenza è una funzione integrata in Windows che consente di forzare l'arresto del sistema in modo più controllato rispetto al reset fisico.

Non è una funzione visibile nei menu classici ed è proprio per questo che molti utenti non ne conoscono l'esistenza.

È pensata per i casi in cui:

• il sistema operativo non risponde più;
• il desktop è bloccato;
• le normali opzioni di spegnimento non sono accessibili;
• forzare l'arresto hardware potrebbe aumentare il rischio di errori o perdita di dati.

Come attivare lo spegnimento di emergenza

La procedura è semplice, ma va eseguita solo quando necessario:

• premere Ctrl + Alt + Canc;
• nella schermata che compare, tener premuto Ctrl;
• cliccare sull'icona di spegnimento in basso a destra;
• apparirà la finestra di spegnimento di emergenza;
• premere OK per confermare.

A questo punto Windows tenterà un arresto immediato, saltando i normali processi di chiusura.

Spegnimento normale vs spegnimento di emergenza

Lo spegnimento normale chiude programmi e servizi in modo ordinato, salva le impostazioni di sistema; è la modalità consigliata nella vita quotidiana.

Lo spegnimento di emergenza interrompe immediatamente i processi e non garantisce il salvataggio dei dati. Va usato solo in caso di blocco totale, non è "un'alternativa veloce" ma uno strumento di emergenza.

Quali rischi considerare prima di usarlo

Lo spegnimento di emergenza non è privo di rischi:

• perdita di file non salvati;
• corruzione temporanea del file system;
• necessità di controlli automatici al riavvio.

Proprio per questo non va usato come abituale alternativa al classico spegnimento.

Tipicamente vi si può ricorrere quando:

• il sistema è "congelato";
• non si possono chiudere programmi né riavviare normalmente.

In tutti gli altri casi, meglio attendere o provare una chiusura ordinaria.

Adobe Acrobat Reader 2025.00120997 e problemi con Windows 7

In realtà non è giusto definirli problemi: Windows 7 è ormai "in pensione" da tempo ed è lecito che l'azienda sviluppatrice non lo supporti più ufficialmente. Fatto sta che, negli ultimi giorni, gli "irriducibili di Windows 7" stanno sperimentando seri problemi con la versione del programma in oggetto.

Non c'è molto da fare, la soluzione più rapida e probabilmente più sicura, anche per il futuro, consiste nel disinstallare, dal Pannello di Controllo, l'ultima versione di Acrobat Reader.

Successivamente consigliamo di installare Sumatra PDF (scaricabile sia in versione 32bit che 64bit).

Si tratta di un programma opensource, estremamente leggero ed ancora compatibile con Windows 7 (ultima versione ad oggi disponibile).

Ho chiamato mentre il tuo telefono era occupato...

È una tattica piuttosto irritante e sfrutta un trucco psicologico per indurre a richiamare.

I giapponesi la chiamano wangiri. La sequenza tipica è:

• lo spammer ti chiama utilizzando dei software che effettuano un ping (una chiamata brevissima che viene interrotta in una frazione di secondo);
• se la tua linea è libera, ricevi l'avviso di chiamata persa / se sei al telefono, scatta il servizio del tuo operatore che invia l'SMS di notifica ("il numero +39... ti ha cercato alle ore... mentre avevi il telefono occupato").

Perché lo fanno?

Vogliono che l'input sembri istituzionale: ricevere un SMS dal proprio operatore (es. "Messaggio da TIM / Vodafone / Wind") dà una falsa sensazione di sicurezza rispetto ad una semplice chiamata persa proveniente da un numero sconosciuto; spinge a pensare: "Ah, il mio operatore mi sta avvisando che qualcuno di importante non è riuscito a trovarmi".

Ovviamente non bisogna richiamare. Spesso si tratta di numeri a tariffazione speciale o numeri utilizzati per confermare che la tua utenza è attiva, esponendoti, in futuro, ad ancora più spam.

La soluzione migliore è bloccare il numero usando la funzione integrata nello smartphone.

Gestione dello spazio su Windows: ottimizzare l'impronta del sistema con CompactOS

Uno dei componenti che incide maggiormente sull'occupazione del disco in ambiente Windows è la cartella di sistema. Spesso si ricorre a software di pulizia terzi per eliminare file temporanei, ma esiste una funzionalità nativa di Windows 10 e 11, chiamata CompactOS, che permette di ridurre direttamente l'ingombro dei file binari del sistema operativo tramite compressione.

Cos'è CompactOS?

CompactOS è l'evoluzione del sistema WIMBoot introdotto con Windows 8.1. A differenza della compressione NTFS standard (quella che si attiva dalle proprietà delle cartelle), CompactOS utilizza algoritmi più moderni (come LZX) per comprimere i file eseguibili e le librerie di sistema.

Il vantaggio principale è che il sistema operativo viene eseguito direttamente dai file compressi.

Sebbene questo comporti un minimo overhead sulla CPU per la decompressione "al volo", sui sistemi moderni dotati di SSD la differenza prestazionale è trascurabile, poiché il minor tempo di lettura dei dati dal disco spesso compensa il tempo di calcolo richiesto per la decompressione.

Analisi e attivazione tramite riga di comando

L'operazione si gestisce interamente tramite lo strumento compact.exe. Per procedere, è necessario aprire il prompt dei comandi con privilegi di amministratore.

Verifica dello stato. Per sapere se il sistema è già compresso o se può trarre beneficio dalla funzione, digita:

compact /compactos:query

Il sistema analizzerà lo stato attuale e informerà se la compressione è consigliata o meno.

Attivazione della compressione. Per forzare la compressione dei file di sistema, utilizza il comando:

compact /compactos:always

Il processo può durare dai 5 ai 20 minuti (ed oltre) a seconda delle prestazioni del disco e della CPU. Al termine, Windows riporterà il rapporto di compressione ottenuto (solitamente si risparmiano dai 2 ai 6 GB, ma su installazioni molto corpose il risparmio può essere superiore).

Ripristino (rollback). Qualora si riscontrassero cali di prestazioni su hardware datato, è possibile tornare allo stato originale con:

compact /compactos:never

Considerazioni tecniche

L'uso di CompactOS è particolarmente indicato per:

• dispositivi con unità di archiviazione limitate (eMMC o piccoli SSD da 128/256 GB);
• macchine virtuali dove il risparmio di spazio sul disco host è prioritario.
• sistemi moderni con CPU multi-core, dove la decompressione trasparente non impatta sull'esperienza d'uso quotidiana.

È uno strumento utile per chi desidera un controllo granulare sul sistema operativo senza affidarsi a script di terze parti o ad utility "tuttofare" che spesso agiscono in modo meno trasparente.

File che non si cancella? Come risolvere l'errore "Percorso troppo lungo" su Windows

Ti è mai capitato di provare ad eliminare una cartella od un file e ricevere un errore perché il nome del file o il percorso sono troppo lunghi?

È un problema frustrante che deriva da un vecchio limite di Windows: la maggior parte delle applicazioni (incluso Esplora File) non riesce a gestire percorsi che superano i 260 caratteri.

Perché succede?

Nonostante il filesystem NTFS possa gestire nomi lunghissimi, Windows applica, di default, un limite (MAX_PATH). Nel caso di molte sottocartelle annidate con nomi descrittivi, raggiungerlo è più facile di quanto pensi!

Il "prefisso magico"

Il modo più veloce per forzare l'eliminazione senza installare software esterni è usare il prompt dei comandi (cmd) con un piccolo trucco di sintassi:

• aprire il menu Start e digitare `cmd`;
• scrivere il comando per cancellare (del), ma aggiungendo al percorso il prefisso \\?\

Esempio pratico:

del "\\?\C:\Utenti\Documenti\CartellaInfinitamenteLunga\filechehacomenomelinterocontenutodeldocumento.txt"

Aggiungendo `\\?\` prima del percorso stiamo dicendo a Windows di ignorare le usuali restrizioni e di inviare il comando direttamente al "cuore" del sistema (il kernel NT). In questa modalità, il limite passa da 260 a ben 32.767 caratteri!