Andrea Galeazzi, uno dei volti più noti del tech italiano con oltre 1,4 milioni di iscritti su YouTube, è stato vittima di un attacco informatico mirato che ha portato al furto del suo account Google e dei suoi canali YouTube (principale e secondario).
L’episodio si è verificato intorno al 19 Gennaio 2026. In un momento di vulnerabilità personale, bloccato a casa per un colpo della strega, sotto antidolorifici e con un livello di attenzione ridotto ha ricevuto una mail di phishing estremamente credibile, costruita su misura per lui.
Nel giro di pochi secondi, gli attaccanti hanno ottenuto l’accesso all’account Google, cambiato password e numero di recupero, attivato un token di autenticazione fisica ed escluso completamente il proprietario legittimo.
Il canale è stato rinominato, il logo sostituito e trasformato in una vetrina per live e video truffaldini sulle criptovalute, una tecnica ormai tristemente nota.
Grazie all’intervento diretto di Google, Andrea è riuscito a recuperare l’account, ma con danni significativi: perdita parziale di indicizzazione, storico e metadati costruiti in oltre 20 anni di attività online.
Non si tratta di un caso isolato: attacchi simili hanno colpito creator internazionali come Linus Tech Tips, Corridor Digital e molti altri.
In pratica non ti rubano la password ma ti convincono a concedere volontariamente l’accesso a un’app o servizio malevolo. Google considera quell’accesso “legittimo”.
Ecco un esempio di schermata di consenso OAuth di Google: qui l’utente è invitato ad autorizzare un’app esterna ad accedere al proprio account. In un attacco di phishing mirato come quello subito da Andrea Galeazzi, una schermata simile può essere presentata con permessi malevoli:
Il tutto è iniziato con una mail personalizzata, apparentemente inviata da un rappresentante di un brand di microfoni con cui Andrea aveva collaborato realmente in passato.
La mail citava commenti reali dei follower, una critica concreta (“audio leggermente ovattato”) e un’offerta coerente: test di un nuovo microfono in anteprima.
Il link portava a una pagina fake ma professionale con HTTPS attivo, grafica curata, linguaggio da ufficio marketing e nessun errore grammaticale.
Inserendo i dati di spedizione e autorizzando la “verifica del canale YouTube”, Andrea ha concesso l’accesso OAuth. Tempo di attacco stimato: meno di 15 secondi.
Questo tipo di phishing è quasi certamente assistito da intelligenza artificiale che consente l'analisi automatica dei social, lo scraping dei commenti e la ricostruzione delle collaborazioni passate. Inoltre le mail sono contestualizzate e l'invio massivo ma personalizzato.
Come spiegato da esperti di cyber security e periti forensi (tra cui Paolo Dal Checco), oggi il social engineering è scalabile: un solo gruppo può colpire migliaia di creator con precisione chirurgica.
Subito dopo la compromissione dell’account, il canale di Andrea Galeazzi è stato trasformato in una vetrina per una finta live sulle criptovalute (Bitcoin o Ethereum, una tecnica già vista in molti attacchi simili. La diretta risultava ufficialmente “LIVE” su YouTube, ma non c’era alcuna persona che parlava in tempo reale. Il contenuto trasmesso era un video preregistrato, probabilmente già pronto e caricato dagli attaccanti, mandato in loop come se fosse una trasmissione dal vivo.
Nel video comparivano immagini di personaggi noti del settore tecnologico e finanziario, tratte da vecchi eventi o conferenze, con banner grafici sovrapposti che invitavano a partecipare a presunte iniziative legate alle criptovalute. L’audio non reagiva a nulla, non c’erano risposte ai messaggi e nessuna interazione reale: chi entrava nella live vedeva sempre la stessa sequenza, indipendentemente dall’orario o dalla durata della diretta.
Anche la chat era parte della messinscena. Messaggi automatici, pubblicati da account bot o compromessi, simulavano entusiasmo e urgenza per spingere gli spettatori ad agire in fretta. Il meccanismo sfruttava due elementi chiave: la fiducia costruita in anni di lavoro da Galeazzi e la modalità live di YouTube, che attira maggiore attenzione, invia notifiche agli iscritti e comunica implicitamente l’idea che “stia succedendo qualcosa in quel momento”. Bastano pochi minuti in queste condizioni per causare danni seri, prima che la piattaforma intervenga o il creator riesca a riprendere il controllo del canale.
La fiducia nel creator originale fa il resto.
Perché proprio le criptovalute? Il motivo è semplice: soldi veloci con la promessa di guadagni miracolosi.
Le vittime inviano crypto a wallet controllati dagli hacker, collegano wallet a siti phishing e perdono fondi irreversibilmente.
Spesso questi gruppi operano dall’Europa dell’Est o dalla Russia e rivendono accessi rubati sul dark web.
Oggetto: Feedback Audio + Test Prodotto Microfono Serie Studio X
Ciao Andrea,
ti scrivo in merito ai feedback ricevuti sotto gli ultimi video (in particolare la recensione dello smartphone di Gennaio).
Alcuni utenti segnalano un audio leggermente più ovattato rispetto ai tuoi standard abituali.
Dato che in passato hai già collaborato con noi, vorremmo proporti il test del nuovo Studio X Mark II, pensato proprio per ambienti home studio.
Per procedere alla spedizione e associare correttamente il prodotto al tuo canale, ti chiediamo di completare questa rapida verifica creator (1 minuto):
https://studiox-creators.com/youtube/verify (sito di fantasia)
Resto a disposizione per qualsiasi chiarimento.
Un saluto,
Marco B.
Creator Relations – StudioX
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. (mail di fantasia)
Oggetto: Accordo collaborazione – lancio Q1 2026
Buongiorno Andrea,
siamo in fase di selezione creator per il lancio Q1 2026 dei nostri nuovi auricolari true wireless.
Il tuo canale è stato segnalato dal nostro team europeo.
In allegato trovi una bozza di accordo editoriale.
Dopo la validazione dell’account YouTube potremo procedere alla spedizione del prodotto.
https://brand-connect.live/yt-auth (sito di fantasia)
Rimaniamo in attesa di conferma.
Cordiali saluti
Brand Partnerships Team
BrandConnect Europe
(Allegato: Collaboration_Agreement_2026.pdf)
tono professionale
riferimenti reali e verificabili
niente richieste di password
link “normali”, non abbreviati
zero errori grammaticali
protocollo https
Google Workspace è la versione a pagamento e professionale degli account Google.
Include:
Gmail con dominio personalizzato (es. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.)
Drive con storage esteso
gestione avanzata utenti e permessi
log di sicurezza
supporto prioritario
È la scelta naturale per aziende, creator professionisti, redazioni, team editoriali. Ma attenzione: non rende immuni dal phishing OAuth. Se concedi un’autorizzazione malevola, anche un account Workspace può essere compromesso.
Se hai ancora accesso (anche temporaneo):
-Cambia subito la password da un dispositivo sicuro
-Forza la disconnessione di tutte le sessioni attive
Impostazioni di sicurezza Google:
https://myaccount.google.com/security
Se NON riesci più ad accedere, salta questo punto e passa subito al recupero (step 3).
Se l’attacco è avvenuto tramite autorizzazioni di terze parti:
Gestione app e servizi collegati:
https://myaccount.google.com/permissions
Avvia il recupero dell'account Google
Se hai perso completamente l’accesso visita questo link ufficiale:
https://support.google.com/a/contact/recovery_form
Rispondi con precisione:
-ultima password ricordata
-data approssimativa di creazione
-dispositivi usati abitualmente
Questo è l’unico canale ufficiale: non esistono scorciatoie.
Recupero canale YouTube compromesso
Se il canale è stato rinominato, oscurato o usato per truffe:
https://support.google.com/youtube/answer/76187 
Se canale verificato, ha una grande audience ed è monetizzato. Supporto dedicato creator:
https://support.google.com/youtube/answer/3545535
Maggiore è la rilevanza del canale, più rapido tende a essere l’intervento.
Dopo il recupero (o appena torni in possesso dell’account):
https://myaccount.google.com/personal-info
Controlla che la mail secondaria sia tua, il numero di telefono sia corretto e che non siano stati inseriti contatti sconosciuti
Avvisa subito la community. In questo modo riduci il rischio di potenziali vittime e aumenti la probabilità di intervento rapido delle piattaforme.
Il silenzio, in questi casi, gioca a favore dei truffatori.
La denuncia si può fare e ha senso, soprattutto se:
ci sono danni economici
è stato usato il tuo nome per truffe
il canale è professionale o aziendale
Portale Polizia Postale
https://www.commissariatodips.it
OPERAZIONI PREVENTIVE (da fare DOPO il recupero o in fase di creazione di un account)
Autenticazione a due fattori (2FA): il primo vero livello di difesa
La password, da sola, non è più sufficiente. Può essere intercettata tramite phishing, riutilizzata da vecchi leak o indovinata se troppo debole. L’autenticazione a due fattori (2FA) aggiunge un secondo controllo: anche conoscendo la password, l’accesso viene bloccato senza un’ulteriore conferma.
Questa conferma può avvenire tramite app di autenticazione (come Google Authenticator, Microsoft Authenticator o Authy), tramite notifica push o tramite codice temporaneo. È una protezione di base che oggi dovrebbe essere attiva su qualunque account importante: email, social, cloud e piattaforme di lavoro.
Non è infallibile, ma riduce drasticamente il successo degli attacchi più comuni.
Attiva protezioni avanzate
Passkey
Chiavi hardware (YubiKey)
Advanced Protection Program
Le YubiKey, prodotte da Yubico, funzionano collegandole alla porta USB del computer o avvicinandole via NFC allo smartphone compatibile. Durante il login, dopo l’inserimento delle credenziali, è necessario toccare fisicamente la chiave per confermare l’accesso, dimostrando la presenza reale dell’utente. Google supporta pienamente questo sistema e lo utilizza anche nel suo Advanced Protection Program, pensato proprio per giornalisti, attivisti e creator ad alto rischio.
Un’alternativa equivalente è la Titan Security Key di Google, basata sugli stessi standard di sicurezza hardware. Sul sito Computermania è disponibile una guida dettagliata che spiega come proteggere il proprio account Google utilizzando la Titan Security Key, illustrando vantaggi, configurazione e casi d’uso pratici:
https://www.computermania.org/tutorial/sicurezza/come-proteggere-il-tuo-account-google-con-la-titan-security-key
In un contesto in cui anche account professionali, verificati e gestiti tramite Google Workspace possono essere compromessi con email estremamente credibili, l’adozione di una chiave hardware rappresenta oggi una delle poche contromisure realmente efficaci. Non è infallibile, ma alza il livello di sicurezza a tal punto da rendere questi attacchi troppo costosi e complessi per la maggior parte dei cybercriminali.
Per approfondimenti:
https://landing.google.com/advancedprotection/
Codici di recupero monouso: cosa sono e come usarli
I codici di recupero monouso sono una serie di codici di emergenza generati quando attivi la verifica in due passaggi (2FA).
Servono per accedere all’account anche se hai perso lo smartphone, l’app di autenticazione o la chiave hardware.
Durante il login inserisci e-mail e password
Quando viene richiesto il secondo fattore, scegli “Usa un altro metodo”
Inserisci uno dei codici di recupero
Ogni codice funziona una sola volta. Dopo l’uso va considerato esaurito.
I codici di recupero vanno stampati o salvati offline, mai conservati nella stessa e-mail che proteggono e trattati come una chiave di casa
Molti utenti li ignorano finché non è troppo tardi: in caso di compromissione, possono fare la differenza tra recuperare subito l’account o restare bloccati per giorni.
Dopo l'attacco subito, sul sito di Andrea Galeazzi è disponibile una guida pratica sulla sicurezza degli account Google in formato pdf, con tutti i passaggi per attivare correttamente la 2FA, gestire le opzioni di recupero e proteggere il proprio account da attacchi simili. Galeazzi ha anche realizzato un video insieme all'esperto di sicurezza Paolo Dal Checco per analizzare nel dettaglio come è avvenuto l'attacco e come evitare di cadere in trappole simili.
Il caso Galeazzi dimostra una verità scomoda: oggi non basta “stare attenti”. Come sottolineano gli esperti di sicurezza informatica, “l’unico sistema veramente sicuro è quello spento, immerso in un blocco di cemento e sigillato in una stanza rivestita di piombo con guardie armate – e anche in questo caso ho i miei dubbi”, una frase attribuita a Eugene Howard Spafford per ricordare che la sicurezza totale non esiste e che le difese devono essere costanti e multilivello.
Andrea ha già sistemato tutto e sono certo che tornerà ancora più forte di prima. Mi dispiace sinceramente per quello che è successo. Lo seguo da anni, è una persona preparata, concreta e affidabile: chi lo conosce sa che questi episodi non lo fermano, semmai gli danno ancora più spinta. Con il suo approccio pragmatico di sempre, ha trasformato questa brutta esperienza in una lezione sulla sicurezza digitale da condividere con tutti noi, ricordandoci che nessuno è immune da questi attacchi e che la prevenzione è fondamentale.
Seguimi sui social per non perdere i prossimi aggiornamenti:
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti tutorial, guide e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulsante:
GRAZIE!
Computermania.org è un sito amatoriale creato da un appassionato di informatica che ha dedicato centinaia di ore di lavoro (soprattutto notturne!), per offrire a tutti articoli e trucchi di qualità e per risolvere i problemi tecnologici quotidiani. Puoi dimostrare il tuo apprezzamento per il lavoro fatto effettuando una piccola donazione su PayPal cliccando sul seguente pulstante GRAZIE! Roberto
