Рассказываем о том, как мошенники могут взломать ваш канал на YouTube без пароля и второго фактора.
Пару месяцев назад известного техноблогера Linus Tech . Все три его YouTube-канала (самый большой имеет аудиторию более 15 миллионов подписчиков) попали в руки злоумышленников, которые начали транслировать на них стримы с рекламой криптомошенничества. Как преступникам удалось получить доступ к каналам? Неужели знаменитый техноблогер не защитил свой аккаунт сильным паролем и двухфакторной аутентификацией? Конечно же защитил (по крайне мере, как он сам).
Linus Tech стал жертвой распространенной атаки типа pass-the-cookie attack, таргетированной на ютуберов. В этом посте подробно разберемся, какие цели преследуют стоящие за подобными атаками злоумышленники, как им удается получать доступ к каналам без пароля и второго фактора от аккаунта, что по этому поводу делает Google и как не стать жертвой аналогичной схемы.
Так на месте блога, ну скажем про технологические инновации, появляется канал, имитирующий блог какой-нибудь крупной компании (чаще всего Tesla) с соответствующей обложкой. После этого на нем запускаются стримы с записью Илона Маска и его рассуждениями о криптовалютах. Весь остальной контент из блога зачастую удаляется.
Стримы с Илоном Маском на взломанном канале.
В тоже время в чате трансляции распространяется ссылка на сайт уникальной акции, связанной с криптовалютами. Вот, например, сам Илон Маск раздает криптовалюту: пользователю необходимо перевести свои коины на некий кошелек, после чего ему вернется в два раза больше.
Мошеннический сайт, куда злоумышленники заманивают зрителей стрима.
Пикантная деталь: в чате мошенники часто предусмотрительно ставят ограничения — писать сообщения могут только пользователи, подписанные на канал более пятнадцати, а то и двадцати лет (и не важно, что тогда еще не существовал не только этот блог, но и YouTube в целом).
Разумеется, это пример типичной мошеннической схемы, о которых мы писали уже и .
Переведите свои биткоины нам, и мы вернем вам в два раза больше криптовалюты.
Вскоре подобная трансляция блокируется YouTube вместе с каналом неудачливого блогера за «нарушение правил сообщества» (for violating YouTube’s Community Guidelines). И дальше настоящего владельца ждет увлекательная игра в восстановление собственного канала и доказывание платформе, что это не он распространял ссылки на мошеннические сайты и проводил сомнительные стримы.
В случае с пятнадцатимиллионным каналом Linus Tech сделать это было относительно несложно. Его канал был восстановлен в тот же день, однако и он потерял целый день монетизации. Сколько времени восстановление справедливости займет у блогера с более скромной аудиторией, да и удастся ли это сделать вообще — вопросы, ответы на которые не хочется узнавать на личном опыте.
Типичная атака на YouTube-канал с письма на бизнес-почту блогера с предложением сотрудничества от имени вымышленной или вполне реальной компании — это может быть VPN-сервис, разработчик игры или даже антивируса. В первом письме нет ничего подозрительно, поэтому сотрудник канала отвечает на него стандартным сообщением с ценником блогера за интеграцию в видео.
Следующее письмо уже далеко не столь безобидно. В нем мошенники архив якобы с контрактом или ссылку на облачный сервис, откуда его можно скачать, а также пароль от этого самого архива. Помимо этого, чтобы сделать письмо более достоверным, мошенники часто добавляют в него ссылку на некий сайт или аккаунт в социальной сети, аффилированный с продуктом, который они хотят «прорекламировать» у блогера. Ссылка может вести как на сайт настоящей честной компании, так и на .
Письмо со ссылкой, по которой блогеру следует скачать архив с «контрактом».
Если сотрудник канала не насторожится и разархивирует файлы, он обнаружит один или несколько документов, которые могут выглядеть как обычные файлы Word или PDF. Единственная странность — все документы очень «тяжелые» (более 700 M
, что делает невозможным их проверку на предмет потенциальной опасности сервисами вроде
. По той же причине их пропустят многие защитные решения. Если открыть файл с помощью специальных инструментов для анализа исполняемых файлов, окажется, что он заполнен огромным количеством пробелов — они и создают его «вес».
Разумеется, внутри файла, который выглядит как невинный контракт, скрывается целый букет зловредов. Компания Google, которая в курсе существующей проблемы, подобных атак и выявила различные виды используемых вредоносных программ. Среди них выделяется — именно его в последнее время в несчастьях блогеры.
Основная цель, которую злоумышленники достигают с помощью этих зловредов, — украсть сессионные токены из браузера жертвы. С помощью сессионных токенов или куки браузер «запоминает» пользователя, что позволяет ему не проходить каждый раз полный процесс аутентификации с введением пароля и проверкой второго фактора. То есть украденные токены дают возможность преступникам выдавать себя за аутентифицированных жертв и входить в аккаунты, не зная их учетные данные.
По результатам этой работы компания заявила, что предприняла ряд мер по защите пользователей:
Каждый человек, имеющий доступ к бизнес-аккаунтам, должен:
Пару месяцев назад известного техноблогера Linus Tech . Все три его YouTube-канала (самый большой имеет аудиторию более 15 миллионов подписчиков) попали в руки злоумышленников, которые начали транслировать на них стримы с рекламой криптомошенничества. Как преступникам удалось получить доступ к каналам? Неужели знаменитый техноблогер не защитил свой аккаунт сильным паролем и двухфакторной аутентификацией? Конечно же защитил (по крайне мере, как он сам).
Linus Tech стал жертвой распространенной атаки типа pass-the-cookie attack, таргетированной на ютуберов. В этом посте подробно разберемся, какие цели преследуют стоящие за подобными атаками злоумышленники, как им удается получать доступ к каналам без пароля и второго фактора от аккаунта, что по этому поводу делает Google и как не стать жертвой аналогичной схемы.
Зачем взламывают YouTube-каналы?
Каналы известных и не очень ютуберов захватывают в основном, чтобы либо за возвращение, либо (по этой причине был взломан и канал Linus Tech). Во втором случае после взлома злоумышленники подменяют название канала, его обложку и содержимое.Так на месте блога, ну скажем про технологические инновации, появляется канал, имитирующий блог какой-нибудь крупной компании (чаще всего Tesla) с соответствующей обложкой. После этого на нем запускаются стримы с записью Илона Маска и его рассуждениями о криптовалютах. Весь остальной контент из блога зачастую удаляется.
Стримы с Илоном Маском на взломанном канале.
В тоже время в чате трансляции распространяется ссылка на сайт уникальной акции, связанной с криптовалютами. Вот, например, сам Илон Маск раздает криптовалюту: пользователю необходимо перевести свои коины на некий кошелек, после чего ему вернется в два раза больше.
Мошеннический сайт, куда злоумышленники заманивают зрителей стрима.
Пикантная деталь: в чате мошенники часто предусмотрительно ставят ограничения — писать сообщения могут только пользователи, подписанные на канал более пятнадцати, а то и двадцати лет (и не важно, что тогда еще не существовал не только этот блог, но и YouTube в целом).
Разумеется, это пример типичной мошеннической схемы, о которых мы писали уже и .
Переведите свои биткоины нам, и мы вернем вам в два раза больше криптовалюты.
Вскоре подобная трансляция блокируется YouTube вместе с каналом неудачливого блогера за «нарушение правил сообщества» (for violating YouTube’s Community Guidelines). И дальше настоящего владельца ждет увлекательная игра в восстановление собственного канала и доказывание платформе, что это не он распространял ссылки на мошеннические сайты и проводил сомнительные стримы.
В случае с пятнадцатимиллионным каналом Linus Tech сделать это было относительно несложно. Его канал был восстановлен в тот же день, однако и он потерял целый день монетизации. Сколько времени восстановление справедливости займет у блогера с более скромной аудиторией, да и удастся ли это сделать вообще — вопросы, ответы на которые не хочется узнавать на личном опыте.
Захват канала без пароля
Для взлома YouTube-аккаунтов блогеров злоумышленникам вовсе не нужно воровать учетные данные. Достаточно наложить руки на сессионные токены. Но обо всем по порядку.Типичная атака на YouTube-канал с письма на бизнес-почту блогера с предложением сотрудничества от имени вымышленной или вполне реальной компании — это может быть VPN-сервис, разработчик игры или даже антивируса. В первом письме нет ничего подозрительно, поэтому сотрудник канала отвечает на него стандартным сообщением с ценником блогера за интеграцию в видео.
Следующее письмо уже далеко не столь безобидно. В нем мошенники архив якобы с контрактом или ссылку на облачный сервис, откуда его можно скачать, а также пароль от этого самого архива. Помимо этого, чтобы сделать письмо более достоверным, мошенники часто добавляют в него ссылку на некий сайт или аккаунт в социальной сети, аффилированный с продуктом, который они хотят «прорекламировать» у блогера. Ссылка может вести как на сайт настоящей честной компании, так и на .
Письмо со ссылкой, по которой блогеру следует скачать архив с «контрактом».
Если сотрудник канала не насторожится и разархивирует файлы, он обнаружит один или несколько документов, которые могут выглядеть как обычные файлы Word или PDF. Единственная странность — все документы очень «тяжелые» (более 700 M
, что делает невозможным их проверку на предмет потенциальной опасности сервисами вроде
. По той же причине их пропустят многие защитные решения. Если открыть файл с помощью специальных инструментов для анализа исполняемых файлов, окажется, что он заполнен огромным количеством пробелов — они и создают его «вес».Разумеется, внутри файла, который выглядит как невинный контракт, скрывается целый букет зловредов. Компания Google, которая в курсе существующей проблемы, подобных атак и выявила различные виды используемых вредоносных программ. Среди них выделяется — именно его в последнее время в несчастьях блогеры.
Основная цель, которую злоумышленники достигают с помощью этих зловредов, — украсть сессионные токены из браузера жертвы. С помощью сессионных токенов или куки браузер «запоминает» пользователя, что позволяет ему не проходить каждый раз полный процесс аутентификации с введением пароля и проверкой второго фактора. То есть украденные токены дают возможность преступникам выдавать себя за аутентифицированных жертв и входить в аккаунты, не зная их учетные данные.
А что Google?
Как я уже писала выше, Google в курсе существующей проблемы с 2019 года. В 2021 году компания выпустила большое исследование . Команда Google исследовала применяемые преступниками методы социальной инженерии, а также зловредов, которые они используют.По результатам этой работы компания заявила, что предприняла ряд мер по защите пользователей:
- Дополнила эвристические правила для обнаружения фишинговых писем, предотвращения кражи куки и блокировки трансляций, рекламирующих криптомошенничество.
- Улучшила режим «Безопасного просмотра».
- Автоматически восстановила 99% взломанных и впоследствии заблокированных каналов.
- Усложнила процесс аутентификации, чтобы уведомлять пользователя о подозрительных действиях в его учетной записи.
Защитите себя самостоятельно
Чтобы не потерять контроль над собственным каналом, разумно будет принять ряд мер предосторожности. В первую очередь необходимо установить на все рабочие устройства , а также проводить регулярные тренинги по кибербезопасности с командой.Каждый человек, имеющий доступ к бизнес-аккаунтам, должен:
- знать типичные признаки фишинга;
- уметь выявлять методы социальной инженерии;
- не переходить по сомнительным ссылкам;
- не скачивать заархивированные вложения и ни в коем случае не открывать их.
