Negli ultimi giorni ho seguito con molta attenzione quello che è successo al canale YouTube di Andrea Galeazzi, trasformato in una vetrina per truffe cripto nonostante password sicure e autenticazione a due fattori attiva. Da creator che vive online ogni giorno, questo caso mi ha fatto riflettere parecchio su quanto siamo tutti più esposti di quanto crediamo, soprattutto quando ci fidiamo troppo del classico “Accedi con Google”.
In questo articolo ti spiego, con parole semplici, come può essere hackerato un account Google anche se usi la 2FA, quali trucchetti sfruttano i criminali con l’AI e cosa faccio personalmente per mettere una barriera in più tra i miei account e chi prova a forzarli.
Come ti fregano anche con la 2FA
Il punto che mi ha colpito di più del caso Galeazzi è che l’attacco non è passato da una password debole, ma da un abuso intelligente del sistema di autorizzazione OAuth, quello che usiamo ogni volta che clicchiamo “Accedi con Google”. Gli hacker non hanno “indovinato” le credenziali, hanno convinto il titolare dell’account ad autorizzare loro stessi, aggirando di fatto il controllo dell’autenticazione a due fattori.
Nel caso specifico, i criminali si sono spacciati per un brand di microfoni con cui lo youtuber aveva già collaborato, usando dettagli reali e lamentele della community sulla qualità audio per rendere la mail estremamente credibile. Questo genere di phishing mirato è molto più subdolo di una mail generica, perché parla esattamente di te, dei tuoi contenuti, dei tuoi problemi: è lì che la soglia di attenzione si abbassa e scatta quel click di troppo.
Il ruolo dell’AI nel phishing “su misura”
Qui entra in gioco l’intelligenza artificiale, e da creator lo vedo come un’arma a doppio taglio: la usiamo per lavorare meglio, ma gli hacker la usano per studiarci. Le AI possono analizzare enormi quantità di dati pubblici – post, commenti, storie, video – costruendo un profilo dettagliato di cosa facciamo, con chi collaboriamo e quali problemi abbiamo evidenziato in pubblico.
Il risultato è un phishing che assomiglia sempre di più a una vera mail di lavoro: riferimenti a brand reali, richiami a critiche ricevute, proposte costruite sul nostro stile e sul nostro settore. Quando una mail tocca esattamente il tuo contesto, è facilissimo scambiare una schermata OAuth malevola per una normale richiesta di accesso “Accedi con Google” e autorizzare senza pensarci troppo.
Perché OAuth è così pericoloso se sottovalutato
OAuth, per definizione, nasce per semplificare la vita: permette a un servizio o un’app di accedere a un altro servizio (come Google) senza rivelare la password, tramite l’emissione di un token di accesso. È il classico scenario in cui vedi a schermo “Consentire a questa app di accedere al tuo account?” e, visto che hai fretta o ti fidi, clicchi su “Continua”.
Il problema è che, se quella schermata è stata generata in modo malevolo, sei tu in prima persona a dire a Google: “Ok, genera un token di accesso per questo servizio”, e qui la 2FA non ti salva più perché il sistema interpreta l’azione come una concessione legittima. Una volta in mano agli hacker, quel token può bastare per fare operazioni pesanti sull’account, fino a prendere il controllo progressivo dei servizi collegati, come è successo con il canale YouTube di Galeazzi.
Cosa faccio per proteggere l’account Google
La prima cosa da chiarire è che attivare l’autenticazione a due fattori è il minimo sindacale, non il livello “pro” di sicurezza. Oggi considero obbligatori: password robuste, 2FA attiva e un controllo periodico degli strumenti diagnostici di sicurezza messi a disposizione da Google, che mostrano lo stato dell’account con un codice colore molto chiaro (blu, giallo, rosso, fino alla spunta verde quando è tutto a posto).
Personalmente, per gli asset più importanti (account principali, canali, email di lavoro), ha sempre più senso valutare il Programma di protezione avanzata di Google, pensato proprio per chi ha profili ad alto rischio. Questo sistema blocca le app non verificate, impedisce la generazione di token OAuth malevoli e richiede l’uso di chiavi di sicurezza fisiche o passkey per l’accesso, rendendo di fatto inutili molti tentativi di furto di credenziali o di sessione.
Le mie regole pratiche contro il phishing “evoluto”
Da creator che riceve ogni giorno proposte, mail di brand e richieste di collaborazione, ho iniziato a seguire alcune regole che consiglio a chiunque lavori online:
Non cliccare mai su “Accedi con Google” da una mail senza aver prima verificato il dominio e il sito ufficiale del brand.
Aprire sempre una nuova scheda e digitare manualmente l’indirizzo del servizio invece di fidarsi del link nella mail.
Controllare periodicamente la lista delle app collegate al proprio account Google e revocare i permessi a tutto ciò che non si usa più o non si riconosce.
Per account critici (YouTube, mail principale, gestione business), valutare seriamente chiavi fisiche di sicurezza e il Programma di protezione avanzata, anche se sembra una misura “esagerata”.
In un contesto in cui l’AI rende il phishing sempre più realistico e personalizzato, l’unico vero upgrade è cambiare mentalità: smettere di pensare “tanto ho la 2FA, sono al sicuro” e iniziare a trattare ogni richiesta di accesso come potenzialmente sospetta. In gioco non c’è solo un canale YouTube, ma anni di lavoro, dati personali, contatti e la fiducia della propria community
