Immaginate un servizio in abbonamento per criminali informatici: dashboard intuitiva, supporto clienti su Telegram, statistiche in tempo reale. Non è fantascienza, è 1Campaign
La ricerca di Varonis Threat Labs rivela 1Campaign, una piattaforma di cloaking professionale che aiuta i criminali a eseguire annunci Google dannosi con dashboard e supporto clienti.
La piattaforma, attiva da tre anni, permette di nascondere annunci di phishing ai controlli automatizzati di Google.
Dietro l’immagine ormai obsoleta del pirata informatico solitario si nasconde una realtà molto più strutturata e inquietante: un’industria del crimine digitale con piattaforme professionali e assistenza clienti. Una ricerca di Varonis Threat Labs ha portato alla luce 1Campaign, una piattaforma di “cloaking” a servizio completo progettata per aiutare i criminali a eseguire annunci Google dannosi su larga scala. Lo sviluppatore, operante con lo pseudonimo DuppyMeister, mantiene e aggiorna questo strumento da oltre tre anni, offrendo supporto attraverso canali Telegram dedicati. Non è una minaccia nuova, ma un’operazione criminale consolidata e commerciale.
Il business del crimine: 1Campaign come servizio
1Campaign rappresenta la professionalizzazione del phishing. La piattaforma combina in un’unica dashboard funzionalità sofisticate come il filtraggio visitatori in tempo reale, l’assegnazione di un punteggio di frode, il targeting geografico e un generatore di script per la protezione dai bot. Ogni visitatore che atterra su un sito controllato dalla piattaforma viene analizzato e gli viene assegnato un punteggio di rischio da 0 a 100. In modo automatico, i visitatori provenienti da fornitori di cloud come Microsoft, Google o Tencent Cloud Computing vengono contrassegnati con un alto punteggio di frode e bloccati. L’obiettivo è semplice: mostrare la pagina web “pulita” (quella conforme alle regole) ai sistemi di scansione di Google e agli utenti sospetti, reindirizzando invece le potenziali vittime verso pagine di phishing o malware.
Questa pratica, il cloaking, consiste proprio nel mostrare contenuti diversi a persone diverse o ai motori di ricerca per nascondere elementi che violerebbero le regole. Secondo la politica ufficiale di Google Ads, il cloaking non è consentito e rientra nelle pratiche di elusione dei sistemi. Eppure, piattaforme come 1Campaign prosperano, trasformando una violazione delle policy in un servizio tecnico offerto a pagamento. L’operazione di DuppyMeister dimostra come il cybercrime si sia evoluto da attività sporadica a business strutturato, con un’attenzione all’usabilità e al supporto che rivaleggia con servizi software legittimi.
Numeri e realtà: l’impatto misurabile
Ma quanto è efficace realmente questa macchina del crimine digitale? I dati mostrano un duello dai risultati contrastanti. Da un lato, l’efficacia delle difese sembra in crescita. Un report indipendente evidenzia come le perdite totali per phishing crittografico nel 2025 siano diminuite dell’83% rispetto all’anno precedente, attestandosi a 83,85 milioni di dollari. Numeri che suggeriscono un contenimento del fenomeno. Dall’altro lato, le campagne orchestrate tramite piattaforme come 1Campaign devono fare i conti con filtri sempre più aggressivi. L’analisi di Varonis su una campagna specifica chiamata “Blockbyblockchain” rivela che, su 1.676 visitatori totali, solo 10 sono stati approvati e reindirizzati al sito di phishing (bitcoinhorizon.pro), con un tasso di successo dello 0,6%. Il restante 99,4% è stato bloccato. Questo dato illustra perfettamente la battaglia in corso: i criminali raggiungono un pubblico vasto, ma i sistemi di sicurezza neutralizzano la stragrande maggioranza dei tentativi.
Il paradosso è evidente: mentre le perdite monetarie calano drasticamente, le infrastrutture criminali diventano più solide, persistenti e facili da usare. I criminali non si arrendono per un tasso di successo basso; ottimizzano, sperimentano e affinano le loro tecniche di inganno, sfruttando strumenti che automatizzano il processo.
La guerra silenziosa: Google contro l’industria del cloaking
Dietro questi numeri si combatte una guerra tecnologica quotidiana. Da una parte, i giganti del web come Google lanciano continuamente contromisure. Soltanto nel 2024, Google ha implementato oltre 50 miglioramenti ai suoi modelli di linguaggio (LLM) dedicati alla sicurezza degli annunci, aggiornamenti che hanno impedito la visualizzazione di miliardi di annunci fraudolenti. Dall’altra, piattaforme come 1Campaign operano indisturbate da anni, aggiornando a loro volta i sistemi per eludere i nuovi rilevamenti. È una corsa agli armamenti algoritmica, dove ogni aggiornamento difensivo spinge gli attaccanti a innovare, e viceversa.
1Campaign non è quindi solo un altro strumento per hacker. È il sintomo di un cambiamento epocale: il crimine informatico si è industrializzato. Mentre Google combatte con aggiornamenti e intelligenza artificiale, la controparte risponde con piattaforme professionali, interfacce utente e assistenza tecnica. La domanda cruciale non è se il prossimo annuncio di phishing sarà bloccato, ma se i sistemi di difesa potranno mai vincere definitivamente una guerra che si gioca sulla stessa arma: l’innovazione tecnologica costante. Chi sta davvero guidando questa corsa?
