;Resize,width=767;)
Sta facendo scalpore la manomissione dei canali YouTube di Andrea Galeazzi, uno dei più noti recensori di tecnologia in Italia con 1,4 milioni di iscritti sulla piattaforma video di Google. Dei criminali informatici hanno di fatto trasformato le piattaforme del 52enne youtuber milanese in “vetrine” per truffe legate alle criptovalute, non tramite un attacco condotto violando una password debole, bensì con una manovra ben studiata che ha sfruttato vulnerabilità intrinseche ai protocolli di autorizzazione che usiamo quotidianamente. Nel caso specifico di Galeazzi, gli attaccanti hanno combinato l'ingegneria sociale all'intelligenza artificiale. Hanno inoltre abusato del sistema OAuth per aggirare l'autenticazione a due fattori, una barriera che è sempre consigliabile attivare ma che, da sola, non basta a rendere un account inviolabile. Vediamo, dunque, come può essere violato un account Google e, soprattutto, come difendersi.
Come può essere hackerato un account Google protetto da 2FA
Il furto dell’account Google che ha coinvolto Andrea Galeazzi è frutto di un attacco mirato, che è stato ben studiato dai criminali informatici che lo hanno perpetrato. Galeazzi stesso ha confermato di aver perso l'accesso al proprio account Google e a tutti i servizi collegati, nonostante fossa attiva l'autenticazione a due fattori (o 2FA). Ma com'è possibile hackerare un account Google protetto dalla 2FA? Grazie all'abuso dei meccanismi di autorizzazione OAuth tramite phishing mirato, che permette agli hacker di bypassare le difese tradizionali grazie a un'esca cucita su misura sulla potenziale vittima. Gli attaccanti, spacciandosi per un brand di microfoni con cui lo youtuber tech aveva già collaborato in passato, hanno sfruttato informazioni reali (come le lamentele della community sulla qualità audio di alcuni video) per rendere il messaggio-esca quanto più credibile possibile.
È proprio qui che l'intelligenza artificiale gioca un ruolo cruciale: oggi le AI possono analizzare enormi quantità di dati pubblici per costruire profili psicologici e narrativi delle vittime, rendendo le mail di phishing quasi indistinguibili da comunicazioni legittime e abbassando drasticamente la soglia di attenzione anche negli utenti più esperti. Tutto ciò che pubblichiamo sui social (post, commenti, storie, etc.), se captati dalle AI utilizzate dai criminali informatici, potrebbero aiutare questi ultimi a costruire messaggi su misura con cui tentare di ingannarci. E capite bene che, se una mail parla di fatti e situazioni che ci coinvolgono direttamente, possono abbassare notevolmente la nostra soglia d'attenzione e spingerci a fare quel “click” in più che ci fa perdere l'accesso ai nostri dati online.
L'aspetto tecnico più insidioso di questa violazione risiede nell'abuso del protocollo OAuth. Per semplificare al massimo, questo è sostanzialmente uno standard che permette l'autorizzazione di un servizio online o di un'app ad accedere a un altro servizio senza rendere note informazioni private. Avete presente quando, nell'accedere a un servizio, compaiono a schermo messaggi del tipo “Accedere con Google?” o “Consentire a questa app di accedere al tuo account?” Ecco, quello è il segnale che si sta utilizzando il protocollo OAuth. Il tutto avviene tramite l'emissione di un token di accesso fatto da un server autorizzativo a un client di terze parti, e richiede l'approvazione da parte dell'utente che è proprietario della risorsa a cui si intende accedere.
Quando utilizziamo il nostro account Google per accedere a servizi terzi, cliccando su “Continua”, se la schermata di accesso tramite protocollo OAuth è stata generata in modo malevolo da un attaccante, la vittima ordina a Google di generare un “token di accesso”. Poiché l'utente è solitamente già loggato nel browser, il sistema non richiede nuovamente l'autenticazione a due fattori, interpretando l'azione come una legittima concessione di permessi. Una volta che gli hacker ottengono questo token possono compiere operazioni significative sull’account, sufficienti in molti casi a prendere il controllo progressivo dei servizi collegati.
Come proteggere l'account Google oltre alla 2FA
Per proteggere adeguatamente un account Google evidentemente non basta attivare l’autenticazione a due fattori (che rimane, insieme all'impostazione di una password sicura, una misura di sicurezza basilare). Bisogna fare qualcosa in più. Tanto per cominciare, è consigliabile adoperare gli strumenti diagnostici messi a disposizione da Google, consultandoli regolarmente. Il sistema utilizza un codice visivo molto intuitivo per comunicare lo stato di rischio dell'account. Accedendo al vostro profilo da questa pagina, prestate attenzione alle diverse icone che potreste trovare e ai colori di queste ultime:
- Blu, indica semplici suggerimenti per migliorare la sicurezza;
- Giallo, segnala passaggi importanti che non andrebbero ignorati;
- Rosso, rappresenta notifiche urgenti che richiedono un intervento immediato.
Il vostro obiettivo, per quanto possibile, è quello di trasformare le icone dei colori summenzionati in una spunta verde (come nello screenshot che precede questo paragrafo), simbolo con cui Google contrassegna un account è integro, con tutte le misure di protezione sono attive.
Oltre al monitoraggio costante tramite questi strumenti, per chi gestisce asset digitali di valore o vuole il massimo livello di sicurezza, l'attivazione del Programma di protezione avanzata di Google è la soluzione definitiva. Questo sistema gratuito blocca preventivamente l'accesso alle app non verificate, impedendo la generazione di token OAuth malevoli, e impone l'uso di chiavi di sicurezza fisiche per l'accesso (token hardware o passkey sul proprio dispositivo), rendendo vano qualsiasi tentativo di furto di credenziali o di furto di sessione. E se quest'ultima opzione vi sembra una misura esagerata da intraprendere, ricordatevi che a mali estremi… estremi rimedi.
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
