Come alcuni di voi già sapranno, la scorsa settimana nel panorama tech è avvenuto un fatto singolare: il noto tech-blogger Andrea Galeazzi, è stato vittima di un attacco digitale che ha finito per sottrargli l'account Google e il controllo dei suoi canali YouTube.
Fa scalpore il caso, visto che qui parliamo di un grande esperto del settore che è finito per cadere in una trappola che più che sofisticata dovremmo definire raffinata.
L'Attacco: non il solito phishing
Abbiamo alcuni fattori “unici” che si sono allineati, come i pianeti in una congiunzione astrale perfetta.
Tutto è iniziato in un momento di vulnerabilità fisica (un forte mal di schiena) e distrazione, mentre lavorava dal divano. L'attacco non è arrivato tramite una mail sgrammaticata né in qualche modo riconducibile a mittenti sospetti, ma attraverso una strategia di Social Engineering estremamente mirata:
- Contestualizzazione perfetta: Andrea ha ricevuto una mail da un brand di microfoni con cui aveva già collaborato. La mail faceva riferimento a lamentele reali degli utenti sulla qualità dell'audio nei suoi ultimi video (un problema che Andrea stava effettivamente riscontrando).
- L'esca: Gli è stata proposta una collaborazione per testare un nuovo microfono. Il link portava a una pagina apparentemente perfetta, con protocollo HTTPS e grafica professionale.
- Il furto dell'identità: Per inviare il prodotto, il sito chiedeva di "verificare" la proprietà del canale YouTube. Andrea, fidandosi del contesto, ha dato l'autorizzazione tramite l'interfaccia di Google.
Già fino a questo punto, siamo ben oltre alle tradizionali truffe a cui siamo stati abituati. Qui qualunque utente smaliziato potrebbe dire “è tutto autentico” e accettare le richieste classificandole come attendibili.
In questo caso inoltre, si tratta di un utente -Andrea Galeazzi- con delle competenze robuste nel mondo IT.
Uno scenario, fin qui, quindi già fuori dall’ordinario.
L'Escalation: 20 secondi per perdere tutto
Una volta concessa dall’utente l'autorizzazione, gli hacker hanno agito con una velocità disarmante e in soli 15-20 secondi hanno messo in atto un piano già strutturato e ben congeniato, che quindi li classifica come hacker esperti:
- cambiato la password dell'account;
- modificato il numero di telefono per il recupero;
- sostituito i codici di backup offline;
- attivato un token fisico di autenticazione, tagliando fuori Andrea in modo definitivo.
Pochi minuti dopo, il canale YouTube era già stato trasformato per trasmettere dirette truffaldine sulle criptovalute, e tutti i servizi digitali associati al blogger erano totalmente fuori dal suo controllo.
I Consigli di Scp: come proteggersi davvero
Di fronte quindi alla ipotesi di un attacco di questo tipo, cosa è davvero possibile fare per ridurre l’entità del rischio? Come vedete, stiamo usando la parola “ridurre” e non annullare, perché il contesto globale -lo ribadiamo- non è e non sarà mai a rischio zero.
Ne ha parlato anche lo stesso Galeazzi assieme al perito forense Dal Checco, e sostanzialmente valgono alcune regole chiave.
- È finito il tempo delle password complesse, non bastano più. È fondamentale usare l'autenticazione a due fattori (2FA), ma attenzione: gli SMS sono i meno sicuri (rischio SIM Swap). Se si è molto esposti socialmente, meglio usare app come Google Authenticator (gratuita) o, ancora meglio, chiavi hardware (Fido/Yubikey).
- Per chi ha profili pubblici o lavora con il digitale o in generale ha dati importanti e/o sensibili, diventa fondamentale attivare la "Protezione Avanzata" dei dati, che blinda l'account richiedendo obbligatoriamente chiavi fisiche per l'accesso.
- Non usare la stessa mail per tutto. Isolare i social, il lavoro e la vita privata aiuta a contenere i danni se un singolo account viene compromesso.
- Serve asssicurarsi di avere salvato altrove l'ID del canale e l'handle, oltre ad avere backup periodici della rubrica.
In generale, la tendenza è e sarà sempre di più quella di andare verso un mondo senza password, in cui gli elementi di autenticazione biometrica, la biometria comportamentale (come usiamo il device) e le passkeys saranno sempre più sicure e sostituiranno le password a cui siamo abituati. Un po’ quello che già succede con i circuiti bancari.
Social engineering e il ruolo delle AI
Viene da chiedersi: ma come fanno degli attaccanti a studiare così bene un loro bersaglio e a creare un attacco mirato usando un pretesto “reale” come quello dei microfoni? Come fanno a costruire una pagina web con protocollo https corretto così perfettamente su misura per la vittima?
La risposta sta nella capacità delle AI di monitorare e classificare grandi quantità di dati: dalle abitudini di navigazione, a ciò che postiamo, passando per i servizi a cui ci abboniamo online: tutto ciò che è impronta digitale oggi è più attaccabile in quanto è più facilmente consultabile e sfruttabile grazie a dei sistemi di AI malevoli che raccolgono e rendono omogenee queste informazioni. Una buona AI, sfruttata per scopi malevoli, non solo è in grado di raccontare all’attaccante quale sia il presente della vittima e la relativa attualità (i microfoni scadenti, nel nostro caso) ma è anche in grado di ridurre drasticamente il tempo in cui costruire un sito vetrina attraente in cui fare cadere la vittima.
Ecco perché lo scenario è cambiato in maniera importante con l’arrivo delle AI.
Infine: cosa fare se ti succede?
Se l'account viene rubato, la parola d'ordine è insistere. Utilizzare i moduli di recupero ufficiali (come facebook.com/hacked per Meta o i form di supporto Google) da diversi dispositivi e non arrendersi se i primi tentativi falliscono.
Nel caso in questione, Galeazzi è riuscito a recuperare il canale grazie al supporto diretto di Google e alla propria celebrità/visibilità (Google ha dei consulenti dedicati per figure di spicco nel panorama social), ma il messaggio è chiaro: può capitare a chiunque! L'intelligenza artificiale oggi permette agli hacker di creare truffe su scala industriale ma estremamente personalizzate.
Restate vigili, isolate i vostri dati e attivate le protezioni avanzate prima che sia troppo tardi.
