UN INCUBO! RUBATO L’ACCOUNT, CHIUSO IL CANALE e NON SOLO. Come hanno fatto e come evitarlo!

Tutorial

Bene amici, anzi male. Malissimo. Quello che vi racconto oggi è stato il mio peggior incubo. Se avete seguito la vicenda, sapete che ne hanno parlato un po’ tutti, ma viverlo in prima persona è un’altra cosa. Non pensavo di fare notizia per una cosa del genere, eppure è successo: sono stato hackerato. Proprio io che parlo di tecnologia ogni giorno, come alcuni hanno fatto notare.

Voglio ringraziare di cuore chi mi ha scritto per aiutarmi e persino gli hater che hanno commentato “te lo meritavi”, perché anche quello fa parte del gioco. Ma questo articolo non serve a piangermi addosso. Voglio spiegarvi esattamente cosa è successo, passo dopo passo, e condividere con voi quello che ho imparato grazie anche al confronto con un super esperto come Paolo Dal Checco, per evitare che capiti anche a voi.

Perché, spoiler: dopo una salita c’è sempre una discesa, ma bisogna stare attentissimi. L’intelligenza artificiale oggi ci aiuta, ma aiuta anche chi vuole fregarci in maniera subdola.

La trappola perfetta: anatomia del social engineering

Tutto è iniziato in un momento di debolezza fisica. Ero bloccato a casa col colpo della strega, sdraiato sul divano, imbottito di antidolorifici e con l’attenzione più bassa del solito. Stavo vagliando le mie solite 200 mail quotidiane.

Di solito, il phishing lo sgamo subito. Il 90% delle volte sono mail sgrammaticate o palesemente finte. Ma questa era diversa. Mi scrive un brand di microfoni, medio-piccolo, con cui avevo già collaborato in passato (e di cui uso ancora i prodotti con soddisfazione). La mail diceva:

“Andrea, abbiamo visto che ultimamente molti dei tuoi follower nei commenti si lamentano per la qualità dell’audio dei tuoi video.”

Era tutto vero. Ultimamente stavo testando dei microfoni che non mi convincevano e l’audio risultava ovattato. La mail era perfettamente contestualizzata. Mi offrivano di provare il loro nuovo modello gratuitamente. Nessuna richiesta strana, tutto coerente.

Ho cliccato sul link. Pagina perfetta, HTTPS, tutto in ordine. Mi chiedono i dati di spedizione e poi di validare il canale YouTube per verificare che fossi davvero io e che avessi i requisiti per ricevere il prodotto. Ho inserito il nome del canale. Spunta verde. “Il tuo canale è idoneo. Dobbiamo solo verificare che sia tuo.”

Lì ho commesso la leggerezza fatale. Tutto “corrispondeva”, aveva senso. Ho dato l’ok alla verifica. Avevo la doppia autenticazione, avevo tutte le sicurezze attive. Ma sono stato io, volontariamente, a dare quel permesso.

15 secondi per perdere tutto

Un secondo dopo aver cliccato “conferma”, mi è venuto un dubbio atroce. “Andrea, ma perché un brand ti chiede tutta ‘sta roba?”. Tempo di reazione: 5-6 secondi. Corro a cambiare la password di Google. Era già stata cambiata.

Mentre ero ancora loggato, vedo arrivare la notifica: “Cambio numero di telefono di recupero”. Provo a usare i codici di backup offline. Già cambiati. Mi avevano sbattuto fuori.

In 15 secondi hanno cambiato tutto. Venti secondi dopo avevano attivato un token fisico di autenticazione, rendendo impossibile per me rientrare. Tre minuti dopo, il mio canale YouTube aveva cambiato nome, logo e skin, e stavano trasmettendo live truffaldine sulle criptovalute.

Ero pietrificato dal dolore alla schiena, ma l’adrenalina mi ha fatto scattare.

Perché l’attacco era così personalizzato?

Ne ho parlato con Paolo Dal Checco, perito forense, professore universitario ed esperto di sicurezza, per capire come sia stato possibile ricevere una mail così mirata. Un tempo, per fare un attacco del genere serviva una persona che ti studiasse per giorni. Oggi, mi spiega Paolo, c’è il Social Engineering automatizzato dall’AI.

Esistono bot che scansionano i profili, leggono i commenti dei vostri follower (come quelli sul mio audio scadente) e creano in automatico una strategia di attacco su misura per te. L’AI non scrive solo poesie o codice, ma crea mail di phishing che sembrano scritte da un collega. Possono attaccare 1000 YouTuber contemporaneamente con messaggi personalizzati.

Dove ho sbagliato e come proteggersi (davvero)

Oltre alla mia leggerezza nel cliccare (siamo umani, capita), il problema è che le difese standard non bastano più. Ecco cosa ho imparato e cosa dovete fare subito:

1. L’autenticazione a due fattori via SMS non basta

Paolo mi ha confermato che l’SMS è il metodo più debole. Può essere intercettato da malware o tramite SIM Swapping(clonazione della SIM). Io non usavo gli SMS, ma non è bastato comunque perché ho autorizzato l’accesso.

2. Le chiavi fisiche sono la vera salvezza

Il livello di sicurezza superiore sono le chiavette hardware (tipo YubiKey) o le Passkey. Se attivate queste, per entrare nell’account serve l’oggetto fisico. Anche se rubano la password, senza la chiavetta non entrano.

3. La “Protezione Avanzata” di Google

Questa non la conoscevo neanch’io. Esiste una modalità chiamata Advanced Protection Program. È pensata per giornalisti o politici a rischio, ma chiunque può attivarla.

  • Richiede obbligatoriamente le chiavette fisiche.
  • Blocca l’accesso alla maggior parte delle app di terze parti.
  • Rende molto più lunghi e severi i controlli per il recupero dell’account.

È scomoda? Sì. Se perdi le chiavette è un dramma? Sì (devi averne due). Ma blinda l’account in modo quasi totale. Da oggi la userò.

Cosa fare se succede a te (la procedura d’emergenza)

Se vi capita, non andate nel panico (facile a dirsi, lo so). Ecco cosa ho fatto io e cosa consigliano gli esperti. Non arrendersi: I moduli di recupero spesso ti rimbalzano. Insistete. Provate da computer diversi, da smartphone, usate l’app invece del sito.

I dati da salvare ORA: Quando non hai più accesso, Google ti chiede cose che non ricordi. Salvatevi adesso, da qualche parte offline:

  1. L’ID del vostro canale (quella stringa incomprensibile, non il nome).
  2. La data di creazione dell’account.
  3. Gli ultimi metodi di pagamento usati.
  4. I dispositivi da cui accedete di solito.

  • Contattare l’assistenza: Se avete account a pagamento (Google One, Workspace) o canali grandi, c’è una via preferenziale. Ma anche per gli account gratuiti, se si insiste e si forniscono i documenti, si può recuperare.

La lezione più importante: l’isolamento dei dati

Ho recuperato il canale (grazie Google!), ho perso un po’ di indicizzazione e 20 anni di storico sembrano resettati, ma si riparte. Uno spunto super interessante me l’ha dato l’articolo di Roberto Pezzali su DDay (che vi consiglio): bisogna isolare.

L’errore di base è avere un’unica mail per tutto: lavoro, YouTube, banca, foto delle vacanze, iscrizione alla palestra. Se bucano quella, bucano la tua vita. D’ora in poi userò account separati. Una mail blindata solo per il canale, una per i social, una per la vita privata. Se ne cade una, le altre restano in piedi.

Spero che il mio “incubo” serva da lezione a voi. Siamo tutti vulnerabili, basta un attimo di distrazione. Proteggetevi prima che succeda.

In conclusione, la sicurezza informatica non è uno stato statico, ma un processo continuo. Anche una condizione fisica precaria (stanchezza, mal di schiena, distrazione) può renderci vulnerabili. La tecnologia ci aiuta, ma la barriera finale resta sempre la nostra consapevolezza e la prudenza nel gestire i permessi che concediamo.

Nota: Se vuoi attivare la protezione avanzata o verificare lo stato del tuo account, visita sempre le impostazioni di sicurezza direttamente dal sito ufficiale del provider, evitando link diretti ricevuti via chat o email.

LINK GOOGLE RECUPERO ACCOUNT

LINK ARTICOLO su D-DAY di ROBERTO PEZZALI 

Articoli correlati

yt-thumbnail-MsQ53fn9x0Q-1
COME SFRUTTARE L'AI per CREARE FOTO, VIDEO e USARLA INTELLIGENTEMENTE
yt-thumbnail-7d_YgICIu1Y
AirDrop APPLE compatibile con ANDROID PIXEL NATIVAMENTE! PIPPONE con CONSIDERAZIONI
yt-thumbnail-2BEsNUdvtc4
COME FARE lo SCATTO PERFETTO! PLAY da VIVO X300 pro