6 attacchi di phishing comuni e come proteggersi da essi

Pubblicato da admin il

Gli attacchi di phishing continuano a giocare un ruolo dominante nel panorama delle minacce digitali. Nel suo Data Breach Investigations Report (DBIR) del 2020, per esempio, Verizon Enterprise ha scoperto che il phishing era la seconda varietà di azione di minaccia più importante negli incidenti di sicurezza e la prima varietà di azione di minaccia nelle violazioni dei dati. Non sorprende quindi che più di un quinto (22%) delle violazioni di dati analizzate dai ricercatori di Verizon Enterprise abbia coinvolto il phishing in qualche modo.

I truffatori digitali non mostrano segni di rallentamento della loro attività di phishing nel 2020, anche. Al contrario, un rapporto di Google ha scoperto che i siti web di phishing sono aumentati del 350% da 149.195 nel gennaio 2020 a 522.495 solo due mesi dopo. Molti di questi siti web hanno probabilmente usato il coronavirus 2019 (COVID-19) come esca. Infatti, Barracuda Networks ha osservato che le e-mail di phishing che utilizzano la pandemia come tema sono aumentate da 137 nel gennaio 2020 a 9.116 entro la fine di marzo – un tasso di crescita di oltre il 600%.

L’aumento degli attacchi di phishing rappresenta una minaccia significativa per tutte le organizzazioni. È importante che tutte le aziende sappiano come individuare alcune delle truffe di phishing più comuni se vogliono proteggere le loro informazioni aziendali. È anche fondamentale che abbiano familiarità con alcuni dei tipi più comuni di tecniche che gli attori malintenzionati utilizzano per mettere in atto queste truffe.

A tal fine, noi di The State of Security discuteremo sei dei tipi più comuni di attacchi di phishing, oltre a fornire consigli utili su come le organizzazioni possono difendersi.

Fishing ingannevole

Fishing ingannevole

Il phishing ingannevole è di gran lunga il tipo più comune di truffa di phishing. In questo stratagemma, i truffatori impersonano una società legittima nel tentativo di rubare i dati personali delle persone o le credenziali di accesso. Queste e-mail utilizzano spesso minacce e un senso di urgenza per spaventare gli utenti e fargli fare ciò che gli aggressori vogliono.

Tecniche utilizzate nel phishing ingannevole

Vade Secure ha evidenziato alcune delle tecniche più comuni utilizzate negli attacchi di phishing ingannevole:

  • Link legittimi: Molti aggressori tentano di eludere il rilevamento dei filtri e-mail incorporando link legittimi nelle loro e-mail di phishing ingannevole. Potrebbero farlo includendo informazioni di contatto legittime per un’organizzazione che potrebbe essere spoofing.
  • Mescolano codice maligno e benigno: I responsabili della creazione di pagine di atterraggio di phishing mescolano comunemente codice maligno e benigno insieme per ingannare Exchange Online Protection (EOP). Questo potrebbe prendere la forma di replicare il CSS e il JavaScript della pagina di login di un gigante tecnologico nel tentativo di rubare le credenziali dell’account degli utenti.
  • Reindirizzamenti e link abbreviati: Gli attori maligni non vogliono sollevare alcuna bandiera rossa con le loro vittime. Pertanto creano le loro campagne di phishing utilizzando URL abbreviati come mezzo per ingannare i Secure Email Gateway (SEG), “time bombing” come mezzo per reindirizzare gli utenti a una landing page di phishing solo dopo che l’email è stata consegnata e reindirizza a pagine web legittime dopo che le vittime hanno perso le loro credenziali.
  • Modificare i loghi dei marchi: Alcuni filtri email possono individuare quando gli attori malintenzionati rubano i loghi delle organizzazioni e li incorporano nelle loro email di attacco o nelle loro landing page di phishing. Lo fanno cercando gli attributi HTML dei loghi. Per ingannare questi strumenti di rilevamento, gli attori malintenzionati alterano un attributo HTML del logo come il suo colore.
  • Contenuto minimo delle email: Gli aggressori digitali tentano di eludere il rilevamento includendo un contenuto minimo nelle loro email di attacco. Potrebbero scegliere di farlo includendo un’immagine al posto del testo, per esempio.

Esempi recenti di attacchi di phishing ingannevoli

Come esempio, i truffatori di PayPal potrebbero inviare un’email di attacco che istruisce i destinatari a cliccare su un link per correggere una discrepanza con il loro conto. In realtà, il link reindirizza a un sito web progettato per impersonare la pagina di login di PayPal. Quel sito web raccoglie le credenziali di accesso dalla vittima quando cerca di autenticarsi e invia i dati agli aggressori.

Abbiamo visto questo tipo di campagne fare notizia anche negli ultimi anni. All’inizio di settembre 2020, per esempio, PR Newswire ha condiviso una ricerca del CERT di Retarus che avvertiva le organizzazioni di stare attente agli aggressori che si spacciavano per partner contrattuali. Questi malintenzionati hanno inviato e-mail di phishing che sollecitavano le organizzazioni ad aggiornare i loro contratti con i partner commerciali scaricando un allegato. Per aggiungere legittimità al loro attacco, gli attori maligni hanno fatto sembrare che i documenti fossero ospitati sul sistema di transazioni leader del settore, Dotloop. Ma cliccando sul documento la vittima veniva semplicemente reindirizzata ad una falsa pagina di login di Microsoft.

Meno di un mese dopo, i ricercatori di Cofense hanno individuato una campagna di email che fingeva di provenire da un fornitore di formazione sulla sicurezza. Le e-mail di attacco dell’operazione avvertivano il destinatario che aveva solo un giorno a disposizione per completare una formazione richiesta, cliccando su un URL. Nel caso in cui la vittima ha rispettato, la campagna li ha inviati ad un kit di phishing che ha utilizzato una falsa pagina di accesso OWA ospitata su un dominio russo per rubare le credenziali Microsoft delle vittime.

Come difendersi dal Phishing ingannevole

Il successo di un phish ingannevole dipende da quanto da vicino l’email di attacco assomiglia ad un pezzo di corrispondenza ufficiale della società abusata. Di conseguenza, gli utenti dovrebbero controllare attentamente tutti gli URL per vedere se reindirizzano ad un sito web sconosciuto e/o sospetto. Dovrebbero anche fare attenzione a saluti generici, errori grammaticali e di ortografia sparsi in tutta l’email.

Spear Phishing

Spear Phishing

Non tutte le truffe di phishing abbracciano tecniche “spara e prega”. Alcuni stratagemmi si basano più su un tocco personale. Lo fanno perché altrimenti non avrebbero successo.

Entrare in schemi di spear phishing.

In questo tipo di stratagemma, i truffatori personalizzano le loro email di attacco con il nome del bersaglio, la posizione, la società, il numero di telefono di lavoro e altre informazioni nel tentativo di ingannare il destinatario a credere di avere una connessione con il mittente. Eppure l’obiettivo è lo stesso del phishing ingannevole: ingannare la vittima a cliccare su un URL dannoso o su un allegato e-mail in modo da consegnare i propri dati personali. Data la quantità di informazioni necessarie per creare un tentativo di attacco convincente, non sorprende che lo spear-phishing sia comune su siti di social media come LinkedIn, dove gli aggressori possono utilizzare più fonti di dati per creare un’email di attacco mirato.

Tecniche utilizzate nello Spear Phishing

Di seguito sono riportate alcune delle tecniche più comuni utilizzate negli attacchi di spear phishing:

  • Ospitare documenti dannosi sui servizi cloud: CSO Online ha riferito che gli aggressori digitali stanno sempre più ospitando i loro documenti dannosi su Dropbox, Box, Google Drive e altri servizi cloud. Per impostazione predefinita, è improbabile che l’IT blocchi questi servizi, il che significa che i filtri e-mail dell’organizzazione non segnaleranno i documenti armati.
  • Compromettere i token: La piattaforma di notizie sulla sicurezza ha anche notato che i criminali digitali stanno cercando di compromettere i token API o i token di sessione. Il successo in questo senso permetterebbe loro di rubare l’accesso a un account di posta elettronica, un sito SharePoint o altre risorse.
  • Raccogliere le notifiche fuori ufficio: Gli attaccanti hanno bisogno di molte informazioni per inviare una campagna di spear-phishing convincente. Per Trend Micro, un modo in cui possono farlo è inviare e-mail ai dipendenti in massa e raccogliere le notifiche out-of-office per imparare il formato degli indirizzi e-mail utilizzati dai dipendenti interni.
  • Esplorare i social media: Gli attori maligni hanno bisogno di imparare chi lavora in un’azienda mirata. Possono farlo utilizzando i social media per indagare la struttura dell’organizzazione e decidere chi vorrebbero individuare per i loro attacchi mirati.

Esempi di attacchi di Spear Phishing

All’inizio di settembre 2020, Proofpoint ha rivelato di aver rilevato due campagne di attacchi di spear-phishing che coinvolgono il gruppo APT TA413 con sede in Cina. La prima ha avuto luogo a marzo e ha preso di mira enti governativi europei, organizzazioni di ricerca senza scopo di lucro e aziende globali associate agli affari economici, invogliando i destinatari ad aprire il documento “Critical preparedness, readiness and response actions for COVID-19, Interim guidance” dell’OMS. Il secondo ha preso di mira i dissidenti tibetani con una presentazione PowerPoint intitolata “TIBETANI COLPITI DA VIRUS MORALE CHE PORTA UNA PISTOLA E PARLA CINESE.ppsx”. Entrambi hanno consegnato payloads di una nuova famiglia di infostealer chiamata Sepulcher.

Meno di una settimana dopo, Armorblox ha spiegato di essersi imbattuto in un tentativo di attacco di phishing contro una delle prime 50 aziende innovative del mondo nel 2019. L’email di attacco utilizzava tecniche di spoofing per ingannare il destinatario che contenesse un rapporto finanziario interno. L’allegato della campagna reindirizzava successivamente i destinatari a una finta pagina di login di Office 365 che mostrava il loro nome utente preinserito nella pagina, creando così ulteriormente il travestimento che il portale fosse una risorsa interna dell’azienda.

Come difendersi dallo Spear Phishing

Per proteggersi da questo tipo di truffa, le organizzazioni dovrebbero condurre una formazione continua sulla consapevolezza della sicurezza dei dipendenti che, tra le altre cose, scoraggi gli utenti dal pubblicare informazioni sensibili personali o aziendali sui social media. Le aziende dovrebbero anche investire in soluzioni che analizzano le e-mail in entrata alla ricerca di link/allegati dannosi conosciuti. Questa soluzione dovrebbe essere in grado di rilevare indicatori sia per il malware noto che per le minacce zero-day.

Frode del CEO

Frode del CEO

I phisher possono prendere di mira chiunque in un’organizzazione, anche i dirigenti. Questa è la logica dietro un attacco “whaling”. In queste truffe, i truffatori cercano di arpionare un dirigente e rubare i suoi dati di accesso.

Nel caso in cui il loro attacco abbia successo, i truffatori possono scegliere di condurre una frode ai CEO. Come seconda fase di una truffa BEC (business email compromise), la frode CEO è quando gli aggressori abusano dell’account email compromesso di un CEO o di un altro dirigente di alto livello per autorizzare bonifici fraudolenti a un’istituzione finanziaria di loro scelta. In alternativa, possono sfruttare lo stesso account di posta elettronica per condurre un phishing W-2 in cui richiedono informazioni W-2 per tutti i dipendenti in modo da poter presentare false dichiarazioni dei redditi per loro conto o pubblicare quei dati sul dark web.

Tecniche utilizzate nel Whaling

Gli attacchi Whaling utilizzano comunemente le stesse tecniche delle campagne di spear phishing. Ecco alcune tattiche aggiuntive che i malintenzionati potrebbero utilizzare:

  • Infiltrarsi nella rete: L’account di un dirigente compromesso è più efficace di un account email spoofed. Come notato da Varonis, gli aggressori digitali potrebbero quindi utilizzare malware e rootkit per infiltrarsi nella rete del loro obiettivo.
  • Seguire con una telefonata: Il National Cyber Security Centre (NCSC) del Regno Unito è venuto a conoscenza di diversi casi in cui gli attaccanti hanno seguito un’email di whaling con una telefonata di conferma della richiesta via email. Questa tattica di ingegneria sociale ha contribuito a placare i timori dell’obiettivo che ci potesse essere qualcosa di sospetto in corso.
  • Andare dopo la catena di approvvigionamento: Inoltre, l’NCSC ha assistito ad un aumento dei casi in cui gli attori maligni hanno utilizzato le informazioni dei fornitori e dei venditori dell’obiettivo per far apparire le loro email di whaling come se provenissero da partner fidati.

Esempi recenti di attacchi whaling

Nel maggio 2016, Infosecurity Magazine ha parlato della decisione del produttore aerospaziale austriaco FACC di licenziare il suo CEO. Il consiglio di sorveglianza dell’organizzazione ha detto che la sua decisione era fondata sulla nozione che l’ex CEO aveva “gravemente violato i suoi doveri, in particolare in relazione al ‘Fake President Incident.'” Quell’incidente sembra essere stato un attacco di whaling in cui attori maligni hanno rubato 50 milioni di euro dall’azienda.

Era più di tre anni dopo quando il lituano Evaldas Rimasauskas ha ricevuto una condanna a cinque anni di carcere per aver rubato 122 milioni di dollari da due grandi aziende statunitensi. Come riportato da Naked Security nel dicembre 2019, Rimasauskas ha inscenato attacchi balistici nel 2013 e nel 2015 contro due aziende inviando fatture false mentre impersonava una legittima azienda taiwanese. Il tribunale di Manhattan che ha emesso la sentenza ha anche ordinato a Rimasauskas di scontare due anni di libertà vigilata, incamerare 49,7 milioni di dollari e pagare 26,5 milioni di dollari di restituzione.

Come difendersi dal whaling

Gli attacchi whaling funzionano perché i dirigenti spesso non partecipano alla formazione sulla sicurezza con i loro dipendenti. Per contrastare le minacce di frode del CEO e il phishing W-2, le organizzazioni dovrebbero imporre che tutto il personale dell’azienda, compresi i dirigenti, partecipino a una formazione di consapevolezza della sicurezza su base continuativa.

Le organizzazioni dovrebbero anche considerare di iniettare canali di autenticazione a più fattori (MFA) nei loro processi di autorizzazione finanziaria in modo che nessuno possa autorizzare i pagamenti solo via e-mail.

Vishing

Vishing

Fino ad ora, abbiamo discusso degli attacchi di phishing che per la maggior parte si basano solo sulle e-mail come mezzo di comunicazione. L’e-mail è senza dubbio uno strumento popolare tra i phisher. Anche così, i truffatori a volte si rivolgono ad altri mezzi di comunicazione per perpetrare i loro attacchi.

Prendiamo il vishing, per esempio. Questo tipo di attacco di phishing fa a meno di inviare un’e-mail e preferisce invece fare una telefonata. Come notato da Comparitech, un attaccante può perpetrare una campagna di vishing impostando un server Voice over Internet Protocol (VoIP) per imitare varie entità al fine di rubare dati sensibili e/o fondi.

Tecniche utilizzate nel Vishing

Queste sono alcune tecniche comuni utilizzate negli attacchi di vishing:

  • “La tecnica mumble”: Gli aggressori digitali spesso incorporano tattiche uniche per colpire obiettivi specifici. Per esempio, come riportato da Social-Engineer, LLC, quando tentano di prendere di mira i rappresentanti del servizio clienti o gli agenti dei call center, gli attori malintenzionati potrebbero usare la cosiddetta “tecnica mumble” per borbottare una risposta a una domanda nella speranza che la loro “risposta” sia sufficiente.
  • Gergo tecnico: Nel caso in cui i malintenzionati prendano di mira i dipendenti di una società, Social-Engineer, LLC ha notato che potrebbero impersonare il supporto tecnico interno utilizzando il gergo tecnico e alludendo a cose come problemi di velocità e badge per convincere un dipendente che va bene per loro consegnare le loro informazioni.
  • ID spoofing: Con questa tattica, un attore malintenzionato maschera il proprio numero di telefono per far sembrare che la chiamata provenga da un numero di telefono legittimo nel prefisso dell’obiettivo. Twinstate ha notato che questa tecnica potrebbe cullare gli obiettivi in un falso senso di sicurezza.

Esempi recenti di attacchi di vishing

A metà settembre 2020, l’organizzazione sanitaria gestita Spectrum Health System ha pubblicato una dichiarazione che avverte i pazienti e i membri Priority Health di stare attenti agli attacchi di vishing. Questo avvertimento indicava che gli individui responsabili dell’attacco si erano mascherati da dipendenti di Spectrum Health o Priority Health. Hanno usato questo travestimento per cercare di spingere gli individui a consegnare le loro informazioni, il denaro o l’accesso all’account.

Era meno di due settimane dopo quando un rapporto è emerso su WFXRtv.com in cui i funzionari della contea di Montgomery hanno avvertito i residenti della comunità della Virginia di stare attenti alle truffe che coinvolgono i numeri di sicurezza sociale. Il rapporto sottolineava in particolare un aumento di truffatori che conducevano attacchi di vishing in cui informavano i residenti che i loro numeri di previdenza sociale erano sospesi e che l’accesso ai loro conti bancari sarebbe stato sequestrato a meno che non avessero verificato i loro dati.

Come difendersi dal vishing

Per proteggersi dagli attacchi di vishing, gli utenti dovrebbero evitare di rispondere alle chiamate da numeri di telefono sconosciuti, non dare mai informazioni personali al telefono e usare un’applicazione di identificazione del chiamante.

Smishing

Smishing

Il vishing non è l’unico tipo di phishing che i truffatori digitali possono perpetrare utilizzando un telefono. Possono anche condurre quello che è noto come smishing. Questo metodo sfrutta messaggi di testo dannosi per indurre gli utenti a cliccare su un link dannoso o a consegnare informazioni personali.

Tecniche utilizzate nello smishing

Webroot ha identificato alcune tecniche comunemente utilizzate dagli smishers:

  • Attiva il download di un’app dannosa: Gli attaccanti possono usare link dannosi per innescare il download automatico di app dannose sui dispositivi mobili delle vittime. Queste app potrebbero poi distribuire ransomware o permettere ad attori nefasti di controllare a distanza i loro dispositivi.
  • Link a moduli per il furto di dati: Gli attaccanti potrebbero sfruttare un messaggio di testo insieme a tecniche di phishing ingannevoli per indurre gli utenti a cliccare su un link dannoso. La campagna potrebbe poi reindirizzarli a un sito web progettato per rubare le loro informazioni personali.
  • Istruire l’utente a contattare il supporto tecnico: Con questo tipo di tattica di attacco, gli attori maligni inviano messaggi di testo che istruiscono i destinatari a contattare un numero per il supporto clienti. Il truffatore si maschera come un legittimo rappresentante del servizio clienti e tenta di ingannare la vittima a consegnare i propri dati personali.

Esempi recenti di attacchi di smishing

A metà settembre è emersa la notizia di una campagna di smishing che ha utilizzato l’ufficio postale degli Stati Uniti (USPS) come esca. I messaggi SMS di attacco dell’operazione informavano i destinatari che avevano bisogno di visualizzare alcune informazioni importanti su una consegna imminente dell’USPS. Cliccando sul link li ha portati in vari luoghi, tra cui un finto gioco di casinò e un sito web progettato per rubare le credenziali dell’account Google dei visitatori.

Era poco tempo dopo quando Naked Security ha pubblicato un rapporto di una campagna di smishing rivolta ai fan di Apple. I messaggi SMS apparivano come se fossero arrivati al numero sbagliato, e usavano un falso chatbot Apple per informare il destinatario che avevano vinto la possibilità di far parte del programma di test 2020 di Apple e testare il nuovo iPhone 12. Questa campagna ha infine istruito le vittime a pagare una tassa di consegna. In realtà, l’operazione ha semplicemente utilizzato un falso portale web per rubare le credenziali della carta di pagamento delle sue vittime.

Come difendersi dallo smishing

Gli utenti possono aiutare a difendersi dagli attacchi di smishing facendo ricerche approfondite sui numeri di telefono sconosciuti e chiamando la società indicata nei messaggi se hanno dei dubbi.

Pharming

Pharming

Come gli utenti diventano più saggi alle tradizionali truffe di phishing, alcuni truffatori stanno abbandonando completamente l’idea di “adescare” le loro vittime. Invece, stanno ricorrendo al pharming. Questo metodo di phishing sfrutta l’avvelenamento della cache contro il sistema dei nomi di dominio (DNS), un sistema di denominazione che Internet utilizza per convertire i nomi alfabetici dei siti web, come “www.microsoft.com”, in indirizzi IP numerici in modo da poter localizzare e quindi indirizzare i visitatori ai servizi e ai dispositivi informatici.

In un attacco di avvelenamento della cache DNS, un pharmer prende di mira un server DNS e cambia l’indirizzo IP associato al nome alfabetico di un sito web. Ciò significa che un aggressore può reindirizzare gli utenti a un sito web dannoso di loro scelta. Questo accade anche se la vittima inserisce il nome corretto del sito.

Tecniche utilizzate nel pharming

Di seguito sono incluse alcune tattiche di pharming identificate da Panda Security:

  • Codice e-mail dannoso: In questa variante di un attacco pharming, gli attori maligni inviano e-mail contenenti codice dannoso che modifica i file host sul computer del destinatario. Questi file host modificati reindirizzano poi tutti gli URL a un sito web sotto il controllo degli attaccanti in modo da poter installare malware o rubare le informazioni della vittima.
  • Prendendo di mira il server DNS: In alternativa, gli attori malintenzionati potrebbero scegliere di non prendere di mira i computer dei singoli utenti e puntare direttamente a un server DNS. Questo potrebbe potenzialmente compromettere le richieste URL di milioni di utenti web.

Esempi recenti di attacchi pharming

Nel 2014, Team Cymru ha rivelato di aver scoperto un attacco pharming nel dicembre 2013. Quell’operazione ha colpito oltre 300.000 router di piccole imprese e uffici domestici con sede in Europa e Asia. In definitiva, la campagna ha utilizzato attacchi man-in-the-middle (MitM) per sovrascrivere le impostazioni DNS delle vittime e reindirizzare le richieste URL a siti sotto il controllo degli aggressori.

Un anno dopo, Proofpoint ha rivelato di aver rilevato una campagna di pharming rivolta principalmente agli utenti brasiliani. L’operazione ha utilizzato quattro URL distinti incorporati nelle e-mail di phishing per predare i proprietari di router UTStarcom e TP-Link. Ogni volta che un destinatario cliccava su uno degli URL, la campagna lo inviava a un sito web progettato per eseguire attacchi cross-site request forgery (CSRF) sulle vulnerabilità dei router presi di mira. Lo sfruttamento di successo ha permesso agli attori maligni di eseguire attacchi MitM.

Come difendersi dal pharming

Per proteggersi dagli attacchi pharming, le organizzazioni dovrebbero incoraggiare i dipendenti a inserire le credenziali di accesso solo su siti protetti da HTTPS. Le aziende dovrebbero anche implementare il software anti-virus su tutti i dispositivi aziendali e implementare gli aggiornamenti del database dei virus su base regolare. Infine, dovrebbero rimanere in cima agli aggiornamenti di sicurezza rilasciati da un Internet Service Provider (ISP) di fiducia.

Conclusione

Utilizzando la guida di cui sopra, le organizzazioni saranno in grado di individuare più rapidamente alcuni dei tipi più comuni di attacchi di phishing. Anche così, questo non significa che saranno in grado di individuare ogni singolo phish. Il phishing si evolve costantemente per adottare nuove forme e tecniche.

Con questo in mente, è imperativo che le organizzazioni conducano una formazione sulla consapevolezza della sicurezza su base continuativa in modo che i loro dipendenti e dirigenti possano stare al passo con l’evoluzione del phishing.

Per maggiori informazioni su come il personale della tua azienda può individuare un phish, clicca qui.

Categorie: Articles

0 commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Articoli correlati

Articles

Cos’è SAP S/4 HANA Cloud? A Deeper Look

All’inizio di febbraio 2017, SAP ha annunciato una versione cloud pubblica del suo prodotto di punta – S/4 HANA ERP Suite – come elemento chiave della sua iniziativa di trasformazione digitale. Il prodotto, chiamato SAP Leggi tutto…

Articles

241 nomi di cani inglesi

Nomi di cani femminili ” Nomi di cani inglesiNomi di cani maschili ” Nomi di cani inglesi Grande lista di 241 nomi di cani inglesi per adattarsi a qualsiasi Bulldog inglese, Brittany Spaniel, Yorkshire Terrier, Leggi tutto…

Articles

Gli effetti dannosi dell’uso dei cotton fioc per pulire le orecchie

La maggior parte delle persone compra i cotton fioc per pulire le orecchie anche se questo non è mai stato il loro scopo. Infatti, usare un cotton fioc per pulire le orecchie è una delle Leggi tutto…