Brand & Social Intelligence Fortgale
CTI · capability 07 · Brand & Social Intelligence

Il brand è attaccato dove il SOC non guarda.

Domain spoofing, fake profili LinkedIn dei dirigenti, phishing kit con logo cliente, fake mobile app, deepfake CEO/CFO, brand mention in canali criminali. Sono minacce che colpiscono il brand prima dei sistemi · fuori dal perimetro del SOC. Fortgale le rileva e coordina il take-down con registrar, social platform, mobile store.

Richiedi una scansione brand Esplora le 5 categorie ↓
24-72hTake-down medio
15 minAlert imminent
5Categorie monitorate
Standard · framework
ICANN URS
WIPO UDRP
Anti-Phishing WG
Image hash
Disciplina · take-down
Registrar coord.
Cloudflare abuse
Social platforms
Mobile stores
Il problema

Tre minacce fuori dal perimetro del SOC.

Il SOC monitora endpoint, rete, identità. Ma il brand viene attaccato fuori dal perimetro: nei registrar, nei social, negli app store, nei canali AI-generated. Per il SOC sono invisibili · per il marketing e il legal sono problemi senza strumenti.

01

Fuori perimetro IT

Domini esterni, fake profili social, app store, deepfake video: nessuno produce log nei sistemi del cliente. Il SOC non li vede.

02

Marketing/Legal senza strumenti

I team marketing e legal vedono i problemi quando arrivano i clienti a lamentarsi. Senza monitoring proattivo, sono in reazione, non in difesa.

03

Velocità di reazione

Un phishing kit con logo del brand può vivere giorni prima del take-down. Ogni ora aumenta vittime + danno reputazionale.

La distinzione che cambia tutto

Brand protection generica vs intelligence operativa.

La brand protection tradizionale è passiva (search alert, mention monitoring). Brand Intelligence Fortgale è operativa: detection, validation, take-down.

Brand protection generica
  • Google Alert su brand keyword
  • Mention monitoring senza validazione
  • No take-down (solo segnalazione)
  • Coverage domini only
  • Output: lista grezza di mention
Insufficient
Brand Intelligence Fortgale
  • Multi-channel: domini, social, app store, deepfake
  • Validazione AI + analyst (no falsi positivi)
  • Take-down coordinato con registrar, CDN, social
  • Coverage estesa anche a typosquatting + IDN homograph
  • Output: alert qualificato + take-down report
Operativo · take-down driven
Il metodo · 4 step

Dal brand mapping al take-down completato.

Quattro fasi documentate · dall'inventory degli asset brand alla rimozione coordinata della minaccia.

  1. 01
    Dalla baseline al baseline-aware

    Brand asset mapping

    Mapping degli asset del brand: logo (tutte le varianti, color/white/black, con e senza testo), executive list (con foto ufficiali), brand vocabulary (slogan, tagline, prodotti, certificazioni), domini canonici. La baseline contro cui confrontare ogni rilevazione.

    Logo variantsExecutive photosBrand vocabularyCanonical domains
  2. 02
    Da fonte a fonte, in continuo

    Continuous surveillance multi-canale

    Sorveglianza continua di registrar feed (newly registered domain), social platform (LinkedIn, Telegram, X, Meta, TikTok), app store (Google Play, Apple App Store), dark web channel, paste site, AI-generated content source.

    Registrar feedSocial crawlingApp store monitoringDark web
  3. 03
    Dal segnale alla minaccia confermata

    Threat validation con AI + analyst

    Image similarity (matching logo via perceptual hash + AI), content analysis (vocabolario brand, contesto), intent inference (kit di phishing configurato, redirect chain, payload, MX configurato, certificate fresh issuance). AI per cernita, analyst per decisione.

    Image similarity AIContent analysisIntent inferenceAnalyst review
  4. 04
    Dall'evidenza alla rimozione

    Take-down coordinato

    Workflow strutturato: notifica al registrar con evidence pack, escalation a CDN (Cloudflare abuse) e hoster, take-down su social platform (Meta/LinkedIn/Telegram/X), mobile store (Google Play / Apple App Review), ICANN URS per casi gravi.

    Registrar notifyCDN escalationSocial take-downICANN URS
Categorie di monitoring

Cinque categorie di minaccia brand.

Le cinque famiglie di minacce brand-related che Fortgale monitora in continuo · da typosquatting tradizionale a deepfake AI-generated.

Categoria 01

Domain & TLD monitoring

Look-alike · typosquatting · IDN homograph · newly registered

Monitoring continuo dei domini che possono essere usati per phishing del vostro brand: typosquatting, IDN homograph (caratteri cirillici/greci visivamente identici), TLD diversi, prefix/suffix variation. Alert su registrazione, MX configuration, certificate issuance.

  • Typosquatting Domini con piccole variazioni (es. fortgale → forgtale, fotrgale, fortgalle). Monitoraggio su tutti i TLD comuni e country-specific.
  • IDN homograph attack Domini con caratteri Unicode visivamente identici (es. cirillico 'а' invece di latino 'a'). Detection via Punycode resolution.
  • Newly registered domain Detection in real-time alla registrazione · alert immediato se MX o certificato vengono configurati nelle 24h successive.
  • Brand-protection portfolio Tracking dei domini di proprietà brand-protection · se uno scade o viene rinnovato in modo anomalo, alert al security team.
  • Sub-domain takeover Detection di sub-domain dangling (CNAME orfano puntante a servizio dismesso, possibile takeover).
Categoria 02

Executive Impersonation

LinkedIn · Telegram · X · WhatsApp · social engineering setup

Tracking di fake profili che impersonano dirigenti del cliente per social engineering, BEC, fraud. LinkedIn fake CFO/CEO che chiedono connessione, Telegram fake support, X fake account brand.

  • LinkedIn fake profile Profili che usano nome e foto reale di dirigenti per connessione e BEC. Detection via image similarity + cross-check con profili ufficiali.
  • Telegram impersonation Fake support channel del brand o impersonation di dirigenti su Telegram (canali, gruppi, DM).
  • X / Twitter fake account Account che imitano il brand ufficiale per scam (crypto, customer support truffaldino, fake announcement).
  • WhatsApp Business spoofing Spoofing di WhatsApp Business del brand per fraud — vettore in forte crescita 2024-2026.
  • Pre-BEC social engineering Detection di pattern preparatori al Business Email Compromise: connessioni LinkedIn anomale, DM da fake CEO al CFO, info gathering.
Categoria 03

Phishing kit con brand abuse

Kit configurati con logo · landing page · campaign

I kit di phishing moderni (Tycoon 2FA, EvilProxy, Mamba 2FA, W3LL) vengono configurati con logo e brand reali per massimizzare il tasso di conversione. Detection delle landing page con il logo del cliente.

  • Landing page con brand logo Crawling continuo per landing page che usano logo del cliente · matching via perceptual hash + AI image similarity.
  • Kit family identification Identificazione del kit usato (Tycoon, EvilProxy, Mamba, W3LL) via fingerprint della landing structure.
  • Campaign attribution Correlazione con campagne attive e con il seller del kit (spesso identificabile su Telegram channel).
  • Italian-targeted brand Detection di kit configurati con loghi di banche italiane (Intesa, Unicredit, Poste), AdE, INPS, SPID, brand consumer italiani.
  • Pre-launch detection Detection in fase di setup (dominio registrato, certificato emesso, kit deployato) PRIMA che la campagna parta.
Categoria 04

Fake apps & counterfeit

Play Store · App Store · e-commerce cloni · crypto scam

Detection di app mobile e siti e-commerce che imitano il brand del cliente per phishing, malware, fraud. Coverage di store ufficiali (Google Play, Apple App Store) e store alternativi (APK mirror).

  • Fake mobile app App su Google Play / Apple App Store che imitano l'app ufficiale per credential theft o malware (banking trojan).
  • E-commerce cloni Siti che clonano il design dell'e-commerce del cliente per scam (mai ricevuti prodotti, frode carta).
  • Crypto pump-and-dump using brand Token crypto che usano il brand del cliente per scam di tipo pump-and-dump (annunciare partnership inesistente).
  • Counterfeit listing Per brand di prodotto: detection di listing su marketplace (Amazon, Ebay, AliExpress) con contraffazione (logo abusato, prodotti falsi).
  • Fake Telegram bot Bot Telegram che si spacciano per customer support o trading bot del brand, per phishing.
Categoria 05

Deepfake & AI-generated content

Video · audio · image · CEO/CFO impersonation

Il vettore in più rapida crescita 2024-2026: deepfake video (CEO che annuncia partnership inesistente), voice cloning (telefonate da fake CFO al tesoriere per wire transfer), fake image identity per scam.

  • Deepfake video CEO/CFO Detection su YouTube, TikTok, Telegram di video che usano volto del dirigente per scam (crypto, partnership, urgent transfer).
  • Voice cloning per BEC Detection di campagne di voice cloning per Business Email Compromise: chiamate al CFO da 'CEO' falsi, vishing.
  • AI-generated fake identity Profili LinkedIn / X con identità AI-generated (StyleGAN photos) usati per social engineering e impersonation.
  • Synthetic media detection Detection di image e video generati con AI (StyleGAN, DALL-E, Midjourney) per fraud · markers tecnici + analyst review.
  • AI-generated phishing copy Detection di campagne phishing con copy AI-generated (LLM-written) · più credibili linguisticamente rispetto al phishing tradizionale.
Tra le più tracciate

Sette minacce brand · tipologie ricorrenti.

Un estratto delle tipologie di minaccia brand più rilevanti 2024-2026 · da typosquatting tradizionale a deepfake AI in forte crescita.

Domain · ongoing top vettore

Domain look-alike & typosquatting

Newly registered · IDN homograph · TLD variation
Tipo
Domain spoofing · phishing infrastructure
Coverage
Registrar feed · MX · certificate · landing detection

Vettore di phishing più diffuso: domini che variano di una lettera, TLD diverso, Unicode homograph. Detection real-time alla registrazione · alert se MX configurato o certificato emesso nelle 24h.

Real-time detectionPre-launch alertMulti-TLDTop tracked
Tracking · Top Richiedi take-down →
LinkedIn impersonation · 2024-attivo

Executive impersonation LinkedIn

Fake CFO/CEO profile · social engineering setup
Tipo
Social platform impersonation
Coverage
Image similarity · cross-check profili ufficiali

Profili LinkedIn fake che impersonano dirigenti per preparare BEC: connessione, gathering info, DM al CFO da 'CEO' fake. Tracking via image similarity sul portfolio executive del cliente.

LinkedInPre-BECImage similarityCross-check
Tracking · Top Richiedi take-down →
Telegram impersonation · ongoing

Telegram fake support channels

Fake brand support · customer service truffaldino
Tipo
Telegram channel impersonation
Coverage
Brand keyword · logo abuse · scam intent

Telegram è il canale preferito per il customer service truffaldino (crypto, fintech, retail). Channel che usano logo e nome brand per dirottare clienti reali in truffe.

TelegramCustomer service scamBrand abuse
Tracking · Active Richiedi take-down →
WhatsApp Business · 2024-attivo

WhatsApp Business spoofing

Fake WA Business brand · BEC + consumer scam
Tipo
Messaging platform spoofing
Coverage
Display name · profile photo · verified badge

Spoofing di WhatsApp Business cresce rapidamente nel 2024-2026. Detection di profili WA Business con foto e nome brand per fraud consumer e BEC verso fornitori.

WhatsApp BusinessSpoofingFast-growing
Tracking · Active Richiedi take-down →
Mobile app store · ongoing

Fake mobile app store

Google Play · Apple App Store · APK mirror
Tipo
App store impersonation
Coverage
Brand name · logo · publisher fake

Detection di fake app che imitano l'app ufficiale del cliente: same name, similar logo, fake publisher. Spesso veicoli di banking trojan o credential theft.

Mobile appBanking trojan vectorMulti-store
Tracking · Active Richiedi take-down →
Crypto scam · 2024-attivo

Crypto pump-and-dump using brand

Fake partnership announcement · token scam
Tipo
Crypto fraud · brand abuse
Coverage
Token name · social mention · announcement tracking

Token crypto che usano il brand del cliente per scam di tipo pump-and-dump: annunci di partnership inesistenti, fake roadmap. Detection su X, Telegram, crypto Discord.

Crypto scamPump-and-dumpFake partnership
Tracking · Active Richiedi take-down →
Deepfake · 2024-attivo · fast-growing

Deepfake CEO/CFO video

Synthetic media · video voice impersonation
Tipo
AI-generated content for BEC and scam
Coverage
Multimodal AI detection + analyst review

Il vettore a crescita più rapida 2024-2026. Detection di video deepfake (YouTube, TikTok, Telegram) e voice cloning (BEC telefonico) che usano volto e voce dei dirigenti per fraud.

AI generatedDeepfakeBEC evolutionFast-growing 2025-26
Tracking · Active Richiedi take-down →
Severity · metodologia

Priorità basata sull'intent.

Non tutti i domini look-alike sono uguali. La priorità è data dall'intent: dominio con MX configurato + certificato + landing con logo = imminent. Dominio parked = info.

Imminent

Take-down immediato

Active phishing infrastructure: kit deployato, certificato emesso, MX configurato, landing page con logo cliente. Alert immediato + take-down avviato.

High

Alert webhook

Intent confermato (kit setup in progress, fake profile attivo, deepfake pubblicato) ma non ancora active phishing. Alert webhook entro 15 min.

Medium

Weekly digest

Look-alike senza payload, fake profile non ancora attivo, mention non operativa. Incluso in weekly digest.

Info

Solo dashboard

Mention informativa, brand-protection scaduta, dominio parked. Disponibile in dashboard, non genera alert.

L'output

Come viene consegnato il monitoring brand.

Quattro canali per quattro audience: marketing, legal, security, executive. Ognuno riceve quello che serve · niente alert generici.

01

Brand dashboard

Console web con vista in tempo reale di tutte le minacce rilevate: domini look-alike, fake profili, phishing kit, deepfake. Filtering per categoria, criticità, status take-down.

02

Alert real-time

Push immediato per minacce imminent (active phishing infrastructure) via webhook, email, SMS. SLA 15 minuti.

03

Take-down report mensile

Report mensile per legal e marketing: take-down completati, tempi medi, escalation, costi evitati stimati. Ready per audit committee.

04

Executive impersonation alert

Alert dedicato per fake profili che impersonano dirigenti del cliente · escalation diretta al security team + HR per coaching dei dirigenti coinvolti.

Onestà tecnica

Quando non serve Brand Intelligence.

Se il brand non è visibile online (B2B niche solo, no e-commerce, no consumer-facing app), i dirigenti non hanno profilo pubblico, no settori target di counterfeit · il monitoring brand produce poco valore.

Brand Intelligence è critica quando: brand riconoscibile da consumer (finance, retail, lusso, sanità privata), e-commerce attivo, dirigenti con profilo pubblico e media exposure, app mobile distribuita, settori target di BEC o impersonation.

Non siete sicuri? Parliamone. Se non vi serve, ve lo diciamo.

Integrazione

Brand intel come scudo periferico.

Il brand monitoring lavora in sinergia con phishing protection, dark web monitoring e advisory · una difesa estesa al brand, non solo all'IT.

Phishing protection

Phishing kit detection

Quando un kit di phishing con logo del brand viene rilevato, viene attivato il blocco preventivo · prima che le campagne email partano.

Scopri protezione phishing →
Dark web · capability 05

Brand mention dark web

Le mention del brand in canali criminali (announcement ransom, fake support, crypto scam) vengono catturate dal dark web monitoring e correlate.

Scopri Dark Web →
IR · BEC defense

Pre-BEC alert per IR

Fake profili LinkedIn che chiedono connessioni a dirigenti = pre-warning BEC. Il team IR viene attivato in fase preventiva.

Contatta IR →
CTI · capability sister

Le altre 6 capability del CTI

Threat Actor Profiling · TI Feed · Advisory · Executive Briefing · Deep & Dark Web · ASM. Brand Intelligence è la capability 07 di 7.

Vedi tutte →
Da portare al CDA

Tre slide · brand come asset da proteggere.

Il CDA discute brand value in termini di reputation e P&L. Brand Intelligence produce dati che il CISO può portare al board in linguaggio business.

01 · L'esposizione brand

Quanti domini look-alike registrati negli ultimi 12 mesi · quanti fake profili dirigenti · quanti kit di phishing trovati con logo del brand.

02 · L'azione

Quanti take-down completati · tempo medio (24-72h domain, 12-48h social) · costi evitati stimati per ogni take-down riuscito.

03 · Il trend AI

Crescita deepfake/voice cloning · quanti casi rilevati anno su anno · raccomandazioni di coaching per dirigenti pubblici.

Il pack «3 slide CDA» è incluso nel reporting Brand Intelligence · richiedibile separatamente.

FAQ

Domande frequenti su Brand & Social Intelligence.

Cosa significa Brand & Social Intelligence?

Monitoring della superficie d'attacco non-IT: domain spoofing, executive impersonation su LinkedIn/Telegram, phishing kit con logo cliente, fake mobile app, deepfake CEO/CFO, brand mention in canali criminali. Sono minacce che colpiscono il brand prima dei sistemi · spesso il SOC non le vede perché sono fuori perimetro.

Come funziona il take-down dei domini look-alike?

Workflow strutturato: ① validazione della minaccia (kit di phishing configurato? Logo cliente? Pattern di redirect?), ② notifica al registrar (GoDaddy, Namecheap, Namesilo, Reg.ru) con evidence pack, ③ se non risponde, escalation a CDN (Cloudflare abuse) e hoster, ④ in casi gravi, ICANN URS (Uniform Rapid Suspension) per take-down rapido. Tempo tipico: 24-72 ore.

Quali social platform sono monitorate?

LinkedIn (executive impersonation, fake company page), Telegram (fake support channel, fake brand channel, fake job offer), Meta (Facebook + Instagram fake page e ads), X/Twitter (fake account brand), TikTok (deepfake video), YouTube (deepfake CEO video, phishing tutorial). Coverage estesa anche a WhatsApp Business spoofing e Threads.

Trovate anche deepfake video del CEO?

Sì. Detection di deepfake video (CEO/CFO impersonation per BEC), audio (voice cloning per truffe telefoniche), image (fake identity per scam). Coverage di video uploaded su YouTube/TikTok/Telegram e di audio su scam channel. La detection usa AI multimodale + verifica manuale degli analisti.

Quanto velocemente si riesce a fare un take-down?

Domini look-alike via registrar: tipicamente 24-72 ore. Social platform (LinkedIn, Meta, X): 12-48 ore. Mobile app store: 5-15 giorni. Per emergenze (active phishing infrastructure colpendo i clienti), escalation a Cloudflare abuse per blocco temporaneo entro 1-4 ore.

Quando NON ha senso attivare Brand Intelligence?

Se il brand non è visibile online (B2B niche, no e-commerce, no consumer-facing app), dirigenti non hanno profilo pubblico, no settori target di counterfeit (lusso, retail, finance, sanità privata). In questi casi il monitoring brand produce poco valore. Se invece il brand è riconoscibile e i dirigenti hanno profilo pubblico, il monitoring è una delle leve di difesa più efficaci contro BEC e social engineering.

Inizia con il monitoring brand

Cosa circola del vostro brand ora?

Richiedete una scansione gratuita di 30 giorni · 5 domini, 10 dirigenti, brand keyword, app store, deepfake source. Restituiamo un report con eventi reali rilevati · senza impegno.

Tempo di risposta: < 1 giorno lavorativo.