È diventata virale la notizia dell’hackeraggio subito da Andrea Galeazzi. Uno dei più noti divulgatori tech in Italia è finito nella morsa di alcuni cybercriminali, il che ha portato molti a pensare: se è capitato a lui, potrebbe facilmente succedere a me. La domanda successiva è dunque: cosa posso fare per proteggermi?
Galeazzi deve aver previsto tutto ciò e così ha deciso d’essere molto onesto in merito a quanto accaduto. Ha spiegato nei dettagli cos’ha subito, gettando le basi per una migliore tutela dei propri dati e account. Detto ciò, il primo elemento di cui tener conto è il seguente: gli strumenti contano fino a un certo punto ma, di fatto, restano cruciali il proprio stato psicofisico e l’allenamento mentale alla diffidenza online. È da qui che deriva la capacità di riconoscere quando qualcosa è davvero troppo perfetto per essere vero.
Il phishing personalizzato
Sono ben lontani i tempi in cui si ricevevano mail sgrammaticate. Se ancora qualche truffatore si affidava a quel sistema, l’IA l’ha cancellato una volta per tutte. Sono inoltre ancora pochi in giro i link palesemente sospetti.
Oggi si può parlare di arte della truffa, considerando i balzi in avanti effettuati. Nel caso di Andrea Galeazzi, il tutto è stato studiato nei dettagli. Il messaggio ricevuto sembrava arrivare da un brand reale, con il quale lui aveva già collaborato. Faceva inoltre riferimento a un autentico problema riscontrato di recente. In alcuni commenti si leggeva di un difetto relativo all’audio dei suoi ultimi video caricati. Un’esca costruita con precisione chirurgica, insomma, frutto di un grande studio. Si tratta della nuova epoca del phishing.
Dietro tutto ciò c’è il social engineering automatizzato. Parliamo di bot e sistemi di intelligenza artificiale che passano in rassegna profili social, commenti, relazioni e abitudini degli utenti. Il tutto al fine di costruire dei messaggi credibili e ben contestualizzati.
Nel giro di pochi click, dunque, l’utente viene condotto in una pagina clonata alla perfezione, con HTTPS e grafica identica a quella reale. Da qui si invita a “verificare” il proprio account, il che porta a rubare la password e, di fatto, a consegnare le chiavi del proprio mondo digitale. Galeazzi si è così ritrovato estromesso dal proprio account Google. Ha osservato la modifica delle credenziali e l’avvio di live truffaldine sulle criptovalute, denunciando il tutto e pubblicando un video d’allarme per allertare chiunque e limitare i danni.
Sicurezza insufficiente
Il caso Galeazzi ci dimostra palesemente come anche autenticazione a due fattori, password complesse e una generale attenzione quotidiana possono non essere sufficienti. Il banco salta se l’utente viene indotto ad autorizzare l’accesso.
Gli SMS restano il metodo più debole, considerando il rischio d’intercettazioni e SIM swapping. Le app di autenticazione di certo alzano il livello, ma la vera barriera oggi sono le chiavi fisiche e le passkey.
Parliamo di YubiKey e strumenti simili. Lo stesso dicasi per il programma di Protezione Avanzata di Google. Tutto ciò impone l’uso di dispositivi hardware e bloccano molte integrazioni esterne, rendendo l’account molto più difficile da compromettere. Soluzione meno comoda? Certo, ma i truffatori puntano proprio sulla ricerca di quel comfort digitale da parte degli utenti. Pensateci la prossima volta che inserite come password nome-cognome e anno di nascita.
Strategie di difesa
Aumentare la sicurezza a livelli “estremi” è consigliato soprattutto per soggetti ad alto rischio. Al di là di creator e giornalisti, pensiamo a chi sfrutta i propri account per operazioni di borsa e, dunque, potrebbe compromettere i propri guadagni e quelli di potenziali clienti.
Pensiamo però a un tipo di utente più standard, per così dire. La prima regola è: non fidarsi mai dei link, neanche quando tutto sembra coerente. Occorre digitare sempre manualmente l’indirizzo del servizio. Ripetiamo, perché non è mai abbastanza, la pigrizia digitale apre le porte ai truffatori.
La seconda regola è separare le identità digitali. Sarebbe il caso d’avere una mail ben protetta per i propri social, una per banca e documenti, una per la vita privata e una per eventuali canali video lavorativi (come nel caso di Galeazzi). Il motivo? Se uno cade, il castello resta in piedi.
Fondamentale inoltre prepararsi in anticipo per eventuali attacchi. Ecco cosa avere da parte:
- ID del canale (qualora ne aveste uno);
- data creazione dell’account;
- nome/numero dei dispositivi abituali autorizzati;
- metodi di pagamento salvati;
- codici di recupero.
Questo passaggio è molto importante perché, in caso di attacco, occorre agire subito, cambiando le password da dispositivi sicuri, avviando procedure di recupero e insistere con l’assistenza, sfruttando ogni canale a disposizione.
La lezione che arriva dall’incubo vissuto da Andrea Galeazzi è chiara: oggi la sicurezza informatica non è solo una questione di software, ma di consapevolezza. L’unico vero antivirus, dunque, è la propria prudenza.
