Una nuova campagna di phishing sta colpendo gli utenti attraverso false notifiche YouTube estremamente credibili, progettate per sottrarre le credenziali di accesso a Google. Il meccanismo è tanto semplice quanto efficace: arriva un avviso che sembra autentico, parla di una presunta violazione del copyright sul proprio canale, e spinge chi lo riceve ad agire in fretta. Il problema è che tutto quanto, dalla grafica ai loghi fino al tono del messaggio, è costruito per sembrare una comunicazione ufficiale di YouTube.
Gli esperti di sicurezza informatica di Malwarebytes hanno analizzato nel dettaglio questa truffa, scoprendo che il livello di personalizzazione è davvero elevato. Il sito fraudolento è in grado di recuperare dati reali del canale preso di mira: immagine del profilo, numero di iscritti, perfino l’ultimo video pubblicato. Con queste informazioni viene generata una pagina allarmistica su misura, pensata per far abbassare la guardia anche agli utenti più esperti. Il passaggio successivo è un reindirizzamento verso una pagina di login che replica quella di Google, dove le credenziali vengono catturate dai criminali informatici.
Il motivo per cui questo schema funziona così bene è legato al fatto che YouTube è un servizio gestito direttamente da Google. Chi inserisce le proprie credenziali pensando di accedere al pannello del canale, in realtà sta consegnando le chiavi del proprio account Google completo ai truffatori.
Come funziona la trappola delle false notifiche YouTube
Le false notifiche YouTube si presentano con una pagina web dall’aspetto pulito e professionale. La dicitura riportata è chiara: “YouTube | Avvisi di violazione del copyright”. Loghi, icone e grafiche sono curate nei minimi dettagli per richiamare l’identità visiva della piattaforma. Il messaggio principale invita a verificare subito lo stato dei diritti d’autore sul proprio canale, con la minaccia di “misure coercitive” se non si risponde entro tre giorni.
Ed è proprio qui che entra in gioco la leva psicologica tipica del phishing: il senso di urgenza. La vittima, soprattutto se si tratta di un creator che dal proprio canale ricava denaro, viene spinta ad agire immediatamente per paura di perdere tutto.
Ma la pressione non si ferma al primo messaggio. La pagina aggiunge un ulteriore livello di ansia, informando che l’eliminazione del video non cancellerà la segnalazione. Un avviso in rosso ribadisce che, senza risposta entro tre giorni, il canale sarà soggetto a provvedimenti disciplinari. La soluzione proposta sembra ragionevole: basta accedere con Google per confermare di essere il legittimo proprietario, e la segnalazione verrà risolta entro 24 ore. Ovviamente, quella pagina di accesso è completamente falsa.
Gli indicatori di compromesso da tenere sotto controllo
Malwarebytes ha reso noti anche gli indicatori di compromesso legati a questa campagna di false notifiche YouTube, informazioni utili per chi vuole proteggersi attivamente. Il sito principale utilizzato per il phishing è dmca-notification[.]info. Per il furto vero e proprio delle credenziali viene invece impiegato il dominio blacklivesmattergood4[.]com, che risultava attivo al momento della rilevazione. Sono stati individuati anche altri domini correlati all’infrastruttura dell’attacco: dopozj[.]net, ec40pr[.]net e xddlov[.]net, tutti e tre con errore 502 al momento dell’analisi.
Chiunque gestisca un canale YouTube e riceva comunicazioni relative a presunte violazioni del copyright dovrebbe verificare sempre l’autenticità della notifica direttamente dalla piattaforma ufficiale, senza mai cliccare su link contenuti in email o messaggi sospetti.
