Avete ricevuto un messaggio da un famoso YouTuber? Potrebbe essere phishing

Gli scammer inviano numerosi messaggi privati su YouTube che sembrano provenire da YouTu-ber famosi. Ma è phishing. ecco come funziona.

Siete iscritti al canale di un famoso YouTuber? Se la risposta è sì, in qualsiasi momento potreste ricevere un messaggio privato da parte della celebrity che seguite.

Come prima reazione, si tratterebbe di una notizia molto positiva. Il YouTuber vi ringrazia personalmente per esservi iscritti al canale o per aver scritto un commento a un video. Inoltre, siete stati sorteggiati per partecipare a un concorso o per ricevere direttamente un premio di grande valore, come un iPhone X o un buono regalo.

Il problema? Si tratta di un messaggio falso, fa parte di una nuova truffa che colpisce gli utenti di YouTube e che la piattaforma non sa ancora come contrastare.

Come funziona questa truffa su YouTube?

La tecnica è piuttosto semplice. Innanzitutto, lo scammer crea un nuovo account YouTube, cambia l’immagine del profilo e per il canale utilizza un nome identico a quello del YouTuber famoso. I truffatori sfruttano una funzionalità standard di YouTube che consente agli utenti di mostrare un qualsiasi nome per il canale, indipendentemente da quale sia il nome dell’account.

Dopo di ciò, gli impostori inviano richieste d’amicizia in massa, su YouTube le richieste di amicizia possono essere inviate a chiunque. I truffatori non devono neanche pubblicare contenuti sull’account fake, in quanto nella richiesta di amicizia sono presenti poche informazioni, come il nome e l’immagine del profilo. E così molti fan accettano la richiesta senza pensarci due volte.

L’ultimo passo è creare e inviare un messaggio privato che risulti convincente.

In questa truffa sono stati utilizzati i nomi di diversi YouTuber famosi, come Marques Brownlee, Philip DeFranco, James Charles, Jeffree Star, Lewis Hilsenteger di Unbox Therapy, Bhad Bhabie, Craig Thompson, Deji (ComedyShortsGamer), Ryland Adams e tanti altri.

Cosa ci ricavano i cybercriminali da questa truffa?

Gli scammer vogliono prendere due piccioni con una fava: da un lato, con un semplice messaggio di phishing, vogliono raccogliere i vostri dati personali e, dall’altro, guadagnarci su. Il messaggio privato su YouTube comprende sempre un link per richiedere il fantomatico premio.

Il link vi porta su un sito Internet fraudolento, all’apparenza ufficiale. Una volta sul sito, vi verrà chiesto di digitare i vostri dati personali e di contatto (di cui s’impossesseranno i cybercriminali). Ma la storia non finisce qui, dovete anche superare la prova del “Non sono un robot” e compilare un questionario, ovviamente falso.

Se decidete di andare avanti con il sondaggio, sarete reindirizzati su un nuovo sito, che a sua volta vi porta su un terzo e così via. Ed è in questo modo che i cybercriminali ci guadagnano, portando traffico. Accumulando click referral verso le landing page di aziende, vengono ricompensati economicamente. Il problema è che, ogniqualvolta clicchiate su un link, non solo rischiate di finire su siti che offrono servizi o prodotti alquanto sospetti, ma potreste anche scaricare un ransomware o un Trojan bancario.

In base a quanto scoperto da alcuni ricercatori di sicurezza (anche se hanno ammesso che le cifre proposte non rappresentano la vera portata del problema), la truffa sembra aver colpito decine di migliaia di utenti su YouTube, o forse anche di più, dove gli utenti sono per lo meno arrivati a visitare un sito falso.

Come difendersi dal phishing su YouTube

  • Guardate sempre con un certo sospetto le richieste di amicizia o i messaggi privati. Innanzitutto, verificate chi è il mittente, se si tratta di un canale ufficiale e, infine, analizzate se il contenuto pubblicate vi sembra veritiero;
  • Non digitate dati personali o sensibili su siti che trovate come link in messaggi ricevuti su YouTube. Purtroppo, se l’offerta proposta vi sembra troppo vantaggiosa per essere vera, probabilmente il vostro presentimento ha un fondamento;
  • Avvaletevi di una soluzione antivirus affidabile che vi avvisi quando il link su cui avete cliccato vi porta su un sito di phishing o su altri siti dannosi.
Consigli