Nel giro di pochi secondi Andrea Galeazzi, uno dei creator tecnologici più noti in Italia, si è visto chiudere fuori dal suo account Google: niente e-mail, niente YouTube, niente Drive. Al loro posto, live su Bitcoin e contenuti crypto sul suo canale da oltre un milione di iscritti.

Il caso è interessante non perché “è successo a uno famoso”, ma perché è l’esempio di come oggi si rubano account ad alto valore sfruttando ingegneria sociale, automazione e le nostre abitudini di clic “sull’ok” e qualche tecnica ancora poco nota, come emerge da una chiacchierata tra Galeazzi e l’esperto Paolo dal Checco.

Il gancio: un’e-mail perfetta (anche grazie all’IA)

Il punto di ingresso non è stato un malware, né una password indovinata. È stata un’e-mail di phishing estremamente credibile, costruita su misura.

Dai racconti di Galeazzi e del perito informatico Paolo Dal Checco emerge uno schema chiaro:

• il mittente si finge un brand di microfoni “medio”, non un big riconoscibile, con cui Galeazzi aveva davvero già collaborato;
• nel testo si citano le lamentele dei follower sulla qualità audio degli ultimi video: un problema reale e recente, che rende la proposta plausibile;
• l’offerta è in linea con il suo lavoro: provare un nuovo microfono in cambio di una recensione.

Questo tipo di attacco rientra nell’ingegneria sociale: il messaggio non punta sulla tecnicità, ma sulla coerenza con la vita del bersaglio.

Come ricorda Dal Checco, un tempo serviva qualcuno che si studiasse per giorni profili social, commenti, abitudini. Oggi lo stesso lavoro lo possono fare motori di intelligenza artificiale che analizzano dati pubblici, estraggono i “punti deboli” comunicativi e generano mail su misura per centinaia o migliaia di persone in parallelo.

La mail di Galeazzi è un caso scuola di “social engineering potenziato dall’IA”: non contiene errori grossolani, è contestualizzata, arriva da un attore credibile e si appoggia a un problema che l’utente sa di avere.

Questo abbassa drasticamente le difese.

Il clic che cambia tutto: il phishing via OAuth

Il secondo passaggio è il più interessante dal punto di vista tecnico, perché spiega perché la famosa “doppia autenticazione” in questo caso non basta.

Nell’e-mail c’era un link per “richiedere i campioni” dei microfoni. La pagina che si apre appare legittima: https, grafica pulita, form per nome, cognome, indirizzo. Fin qui, nulla di sospetto.

Il problema arriva quando il sito chiede di “verificare il canale YouTube” per confermare che sia davvero dell’utente. Per farlo viene usata una procedura di login che pare far uso dell’autenticazione mediante Google (OAuth): sul PC si conferma la propria identità passando attraverso il proprio profilo e sullo smartphone compare la classica schermata “Sei tu che stai accedendo da questo dispositivo?” e poi la maschera di autorizzazione ai permessi.

È qui che, in sostanza, Galeazzi “lascia entrare” lui stesso gli attaccanti. Il secondo fattore di autenticazione era presente e rimane suo, ma lo usa per confermare l’autorizzazione che credeva essere quella di OAuth mentre in realtà stava aprendo una porta d’ingresso agli attaccanti.

È simile all’OAuth phishing ma più immediato: l’utente vede una procedura Google che appare vera, la 2FA funziona correttamente ma il risultato è che viene instaurata una sessione su un PC di terzi che ottiene un token di accesso legittimo e può fare tutto, incluso il cambio indirizzo e-mail o telefono di recupero, rimozione 2FA e modifica contenuti.

Da quel momento, l’attaccante non ha più bisogno della password: agisce come un utente “fidato” e può prendere il controllo dell’account.

L’escalation in 20 secondi: cosa fanno gli attaccanti quando entrano

Il cronometro che Galeazzi si è segnato racconta bene quanto siano rodati questi attacchi:

• entro circa 15 secondi dalla conferma, gli aggressori cambiano password, e-mail e numero di recupero, generano nuovi codici offline e buttano fuori l’utente da ogni sessione attiva;
• pochi secondi dopo aggiungono un token fisico di autenticazione (per esempio una chiave Fido) come secondo fattore, blindando di fatto l’account a chiunque non abbia quell’hardware;
• nel giro di tre minuti cambiano nome, logo e skin dei canali YouTube collegati, cancellano o nascondono le playlist, avviano live e contenuti su bitcoin con QR code per le donazioni.

È uno schema già visto in altri casi di furto di canali YouTube: l’obiettivo è monetizzare rapidamente con truffe crypto, sfruttando la reputazione del creator finché la piattaforma non interviene per bloccare il canale per violazione delle norme.

Nel frattempo, se il tempo lo consente, gli aggressori possono anche tentare l’esportazione completa dei dati Google (funzione “Takeout”) per scaricare e-mail, Drive, rubrica e altri contenuti.

In questo caso, Google è intervenuta in tempi brevi e il canale è stato ripristinato, ma il ripristino è parziale: si perdono indicizzazioni, impostazioni, alcune statistiche; il lavoro degli ultimi anni risulta comunque impattato, almeno nel breve periodo.

Perché è successo anche se c’era la 2FA

Una domanda è circolata ovunque: “Ma Galeazzi non aveva l’autenticazione a due fattori?”. Sì, ce l’aveva. Non è sufficiente, da sola, a bloccare questo tipo di attacco.

Dal Checco distingue correttamente fra diversi livelli di 2FA:

• SMS (molto debole: leggibile da malware, deviabile con attacchi di SIM swap);
• notifiche push su smartphone (“Sei tu che ti stai collegando?”), un po’ più sicure ma comunque basate su un clic;
• app come Google Authenticator (codici temporanei TOTP);
• passkey legate alla biometria del dispositivo;
• chiavette hardware Fido (Yubikey e simili), che richiedono la presenza fisica della chiave.

Nel caso Galeazzi, il problema non è stato “bucare” la 2FA, ma aggirarla: il sistema ha fatto esattamente ciò per cui è progettato, cioè verificare che fosse lui a concedere i permessi. Il punto debole è la decisione di autorizzare un’applicazione malevola, non la rottura del meccanismo di verifica.

È un salto culturale importante: molti utenti pensano ancora che basti una password lunga più 2FA per essere “a posto”. Il caso dimostra che la superficie di attacco si è spostata sulle autorizzazioni applicative, sui token e sull’integrazione fra servizi, non solo sulle credenziali.

Programma di protezione avanzata e “account blindati”

Nella chiacchierata con Galeazzi, Dal Checco cita un’ulteriore misura che fino a pochi giorni fa era abbastanza di nicchia: il Programma di protezione avanzata di Google.

Si tratta di un profilo pensato inizialmente per giornalisti, attivisti, politici e figure ad alto rischio, ma attivabile anche da normali utenti Gmail. Una volta abilitato:

• l’accesso all’account è possibile solo tramite chiavi di sicurezza fisiche o passkey;
• molte integrazioni di terze parti vengono bloccate a priori se non rispettano standard di sicurezza elevati;
• alcune operazioni sensibili (come l’esportazione dei dati via Takeout) vengono ritardate di giorni e sottoposte a controlli ulteriori.

È una soluzione poco comoda – devi avere almeno due chiavi fisiche, una di backup, e puoi perdere l’account se le smarrisci entrambe – ma è oggi una delle protezioni più robuste per chi vive di quell’account (creator, freelance, studi professionali).

Il caso Galeazzi farà probabilmente da volano: vedere un volto noto raccontare di aver “perso tutto in 15 secondi” rende molto più concreto un rischio che per molti era ancora teorico.

L’altro pezzo del problema: l’account Google come “bus di tutto”

Una riflessione emersa dallo stesso Galeazzi, e ripresa da vari analisti, è l’eccessiva centralità dell’account Google. Nel suo caso:

• la stessa identità digitale gestiva YouTube, e-mail, Drive, rubrica, eventuali workspace di lavoro, servizi esterni collegati tramite “Accedi con Google”;
• l’account era usato anche come “ponte” per autorizzare app terze a entrare in calendario, documenti, backup foto, servizi di trascrizione e così via.

Quando un singolo account diventa il bus centrale di decine di servizi, il suo furto non è più solo “perdo il canale YouTube”, ma “perdo una fetta sostanziale della mia vita digitale”.

Qui entra in gioco il concetto di isolamento dei dati, sintetizzato bene da Roberto Pezzali: non basta più pensare alla “password sicura”, bisogna riprogettare l’architettura dei propri account, separando quanto più possibile lavoro, vita privata, social e servizi critici.

In pratica:

• usare account Google separati per canali YouTube di lavoro, servizi personali, test;
• tenere i social più importanti agganciati a una mail non pubblica e gestita con misure di sicurezza massime;
• limitare al minimo indispensabile le app che “leggono” Drive, e-mail, photo, rubrica.

È meno comodo, ma riduce la probabilità che un singolo errore trascini giù tutto.

Le lezioni per creator e aziende

Dal racconto di Galeazzi e Dal Checco e dall’analisi dei casi simili che stanno emergendo in queste ore, si possono ricavare alcune indicazioni operative, utili per creator ma anche per uffici marketing, agenzie, studi professionali.

Considerare le mail “troppo giuste” come un segnale d’allarme

Una mail che intercetta alla perfezione un problema reale (audio, numeri, critiche recenti) non è necessariamente autentica, anzi.

Se il mittente cita dettagli presi dai commenti pubblici, va verificato con un canale alternativo (telefono, contatto LinkedIn noto, mail ufficiale del brand).

Leggere davvero i permessi delle schermate Google

Ogni volta che compare una maschera di autorizzazione OAuth, va letta con attenzione: che cosa sta chiedendo esattamente? Accesso solo al canale YouTube o a tutta la posta? Solo lettura o anche gestione?

In caso di dubbio, si chiude la finestra e si contatta il presunto brand da un canale ufficiale.

Attivare 2FA forte e, per i profili ad alto rischio, protezione avanzata

Sms e notifiche push sono il minimo sindacale. Per account critici ha senso investire in chiavi hardware e programmi di protezione avanzata, sapendo che aggiungono frizione ma riducono molto la superficie di attacco.

Segmentare identità e servizi

Canale YouTube professionale, profili social aziendali, strumenti di fatturazione e dati sensibili dovrebbero vivere su account separati, con credenziali e numeri di recupero diversi.

L’obiettivo è impedire che un’unica compromissione diventi una catena di domino.

Preparare “prima” le informazioni per il disaster recovery

Google e gli altri provider, in caso di furto, chiedono dati puntuali: ID del canale, handle, metodi di pagamento, ultime cifre di carte o conti, dispositivi e luoghi di accesso abituali.

Tenerli offline (anche solo su carta) riduce il panico e accelera i tempi di ripristino.

E da qui in avanti?

Il furto dell’account di Andrea Galeazzi è già diventato un caso mediatico, ma dal punto di vista della sicurezza è soprattutto un benchmark: mostra che attacchi di social engineering avanzato, potenziati dall’intelligenza artificiale e veicolati via OAuth, non sono più un’ipotesi da conferenze ma una realtà operativa.

Da qui in avanti, il punto non sarà chiedersi “se” possa accadere anche ad altri, ma “quanto in fretta” aziende, creator e utenti comuni cambieranno abitudini: meno fiducia automatica nelle integrazioni “comode”, più isolamento degli account, più formazione su cosa significa davvero cliccare “Consenti”.

Nel frattempo, gli aggressori continueranno a perfezionare script e bot che studiano profili e costruiscono mail su misura.

Il caso Galeazzi suggerisce una risposta semplice e scomoda: se l’attacco diventa “intelligente”, anche l’igiene digitale deve diventarlo.