Stream-jacking: cos’è, come funziona e come evitarlo

Niccolò Ellena

18 Ottobre 2023 - 16:56

Lo stream-jacking è una truffa particolarmente pericolosa e popolare, specialmente su YouTube. Ecco come funziona e come difendersi.

Stream-jacking: cos’è, come funziona e come evitarlo

Le truffe online, purtroppo, stanno diventando sempre più popolari. Una delle ultime a far parlare di sé per i problemi che sta creando si chiama «stream-jacking» ed è particolarmente frequente su YouTube.

Gli hacker che la mettono in atto sfruttano tecniche molto sofisticate di ingegneria sociale e di phishing con l’obiettivo di rubare denaro o dati alle loro vittime.

Difendersi da questa truffa non è impossibile, tuttavia per essere certi di riuscirci è fondamentale conoscerla.

Stream-jacking: che cos’è e come funziona

Lo stream-jacking è una forma di truffa online molto sottile e pericolosa. Ci sono molti modi per metterla in pratica, ma gli hacker più esperti utilizzano soprattutto due metodologie.

Nel primo caso, tutto ha inizio con il furto di un canale YouTube molto seguito. Per riuscirci i criminali possono utilizzare diverse strategie. Generalmente si fingono clienti interessati a una collaborazione con un content creator. Una volta entrati in contatto con il malcapitato gli mandano una e-mail con contenuto malevolo, sotto forma di link o file .pdf, nella speranza che egli lo apra. Se ciò avviene gli hacker riescono immediatamente a sottrarre all’utente il proprio canale e possono utilizzarlo per le loro attività illecite.

In alternativa, qualora questo primo tentativo non riesca, gli hacker spesso cercano di replicare un canale YouTube esistente. Farlo, per loro, non è difficile. Copiano l’impostazione (copertina della pagina principale, foto profilo, layout), acquistano iscritti fasulli (pratica altrettanto semplice quanto illecita) e caricano video precedentemente scaricati dal canale che intendono copiare.

A questo punto riconoscere quale sia il canale vero e quale quello falso può essere piuttosto complesso, poiché le somiglianze saranno davvero molte. Un occhio attento può comunque riuscirci, più tardi vedremo come.

A questo punto, quando cioè gli hacker sono in possesso di un canale, originale o replicato che sia, inizia la truffa.

Spesso avviene che gli hacker, spacciandosi per famosi content creator, chiedano agli utenti che guardano un loro video di premere su un link o di scannerizzare un QR code per donare delle criptovalute, con la promessa che queste verranno poi restituite con gli interessi, salvo poi sparire nel nulla.

Per metterla in pratica gli hacker fanno partire una live streaming dal profilo, durante la quale scorre un video in loop con in sovraimpressione il QR o il link malevolo. Per fare in modo che nessun utente si intrometta nella truffa, inoltre, spesso la sezione riservata ai commenti è bloccata, oppure soltanto una stretta cerchia di moderatori può accedervi.

A seconda dei casi gli hacker possono anche mettere un link malevolo nella sezione commenti, se questa non è stata preventivamente bloccata.

A cadere vittima di questa truffa sono spesso i fan più accaniti degli youtuber che, fidandosi dei loro beniamini e non accorgendosi della truffa, finiscono erroneamente per fidarsi.

Come difendersi dallo stream-jacking

Difendersi dallo stream-jacking non è difficile, tuttavia è necessario conoscere bene quali sono i meccanismi che lo regolano per evitarlo.

In generale, un buon modo per tenersi lontani da questo tipo di truffe (spear-phishing, QRishing, ecc.) è quello di ricordarsi una delle regole fondamentali della navigazione su internet: è meglio evitare di aprire link di cui non si conosce il contenuto.

Nella fattispecie di questa truffa, inoltre, è possibile affermare che - fortunatamente - riconoscere un canale YouTube vero da uno costruito ad hoc può essere abbastanza semplice: generalmente questi ultimi hanno un rapporto tra iscritti e visualizzazioni dei video decisamente sballato, mentre invece, se i canali in oggetto sono «legittimi», il medesimo rapporto è molto più equilibrato.

Attenzione inoltre ai commenti: difficilmente un content creator sceglierà di bloccarli durante una live streaming, dal momento che questi rappresentano il principale mezzo di comunicazione tra gli utenti e i loro beniamini. Se i commenti sono bloccati, probabilmente c’è qualcosa che non va.

È, infine, importante ricordare di dubitare sempre e comunque di chiunque chieda - soprattutto in maniera frettolosa - soldi o dati, perché potrebbe essere una truffa di qualcuno che vuole spingere gli utenti a prendere una decisione non ponderata.

Argomenti

# Hacker

Iscriviti a Money.it