Статья Захват канала на YouTube с помощью ворованных cookie

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Рассказываем о том, как мошенники могут взломать ваш канал на YouTube без пароля и второго фактора.


Пару месяцев назад известного техноблогера Linus Tech . Все три его YouTube-канала (самый большой имеет аудиторию более 15 миллионов подписчиков) попали в руки злоумышленников, которые начали транслировать на них стримы с рекламой криптомошенничества. Как преступникам удалось получить доступ к каналам? Неужели знаменитый техноблогер не защитил свой аккаунт сильным паролем и двухфакторной аутентификацией? Конечно же защитил (по крайне мере, как он сам).

Linus Tech стал жертвой распространенной атаки типа pass-the-cookie attack, таргетированной на ютуберов. В этом посте подробно разберемся, какие цели преследуют стоящие за подобными атаками злоумышленники, как им удается получать доступ к каналам без пароля и второго фактора от аккаунта, что по этому поводу делает Google и как не стать жертвой аналогичной схемы.

Зачем взламывают YouTube-каналы?​

Каналы известных и не очень ютуберов захватывают в основном, чтобы либо за возвращение, либо (по этой причине был взломан и канал Linus Tech). Во втором случае после взлома злоумышленники подменяют название канала, его обложку и содержимое.

Так на месте блога, ну скажем про технологические инновации, появляется канал, имитирующий блог какой-нибудь крупной компании (чаще всего Tesla) с соответствующей обложкой. После этого на нем запускаются стримы с записью Илона Маска и его рассуждениями о криптовалютах. Весь остальной контент из блога зачастую удаляется.


Стримы с Илоном Маском на взломанном канале.

В тоже время в чате трансляции распространяется ссылка на сайт уникальной акции, связанной с криптовалютами. Вот, например, сам Илон Маск раздает криптовалюту: пользователю необходимо перевести свои коины на некий кошелек, после чего ему вернется в два раза больше.


Мошеннический сайт, куда злоумышленники заманивают зрителей стрима.

Пикантная деталь: в чате мошенники часто предусмотрительно ставят ограничения — писать сообщения могут только пользователи, подписанные на канал более пятнадцати, а то и двадцати лет (и не важно, что тогда еще не существовал не только этот блог, но и YouTube в целом).

Разумеется, это пример типичной мошеннической схемы, о которых мы писали уже и .


Переведите свои биткоины нам, и мы вернем вам в два раза больше криптовалюты.

Вскоре подобная трансляция блокируется YouTube вместе с каналом неудачливого блогера за «нарушение правил сообщества» (for violating YouTube’s Community Guidelines). И дальше настоящего владельца ждет увлекательная игра в восстановление собственного канала и доказывание платформе, что это не он распространял ссылки на мошеннические сайты и проводил сомнительные стримы.

В случае с пятнадцатимиллионным каналом Linus Tech сделать это было относительно несложно. Его канал был восстановлен в тот же день, однако и он потерял целый день монетизации. Сколько времени восстановление справедливости займет у блогера с более скромной аудиторией, да и удастся ли это сделать вообще — вопросы, ответы на которые не хочется узнавать на личном опыте.

Захват канала без пароля​

Для взлома YouTube-аккаунтов блогеров злоумышленникам вовсе не нужно воровать учетные данные. Достаточно наложить руки на сессионные токены. Но обо всем по порядку.

Типичная атака на YouTube-канал с письма на бизнес-почту блогера с предложением сотрудничества от имени вымышленной или вполне реальной компании — это может быть VPN-сервис, разработчик игры или даже антивируса. В первом письме нет ничего подозрительно, поэтому сотрудник канала отвечает на него стандартным сообщением с ценником блогера за интеграцию в видео.

Следующее письмо уже далеко не столь безобидно. В нем мошенники архив якобы с контрактом или ссылку на облачный сервис, откуда его можно скачать, а также пароль от этого самого архива. Помимо этого, чтобы сделать письмо более достоверным, мошенники часто добавляют в него ссылку на некий сайт или аккаунт в социальной сети, аффилированный с продуктом, который они хотят «прорекламировать» у блогера. Ссылка может вести как на сайт настоящей честной компании, так и на .


Письмо со ссылкой, по которой блогеру следует скачать архив с «контрактом».

Если сотрудник канала не насторожится и разархивирует файлы, он обнаружит один или несколько документов, которые могут выглядеть как обычные файлы Word или PDF. Единственная странность — все документы очень «тяжелые» (более 700 MB), что делает невозможным их проверку на предмет потенциальной опасности сервисами вроде . По той же причине их пропустят многие защитные решения. Если открыть файл с помощью специальных инструментов для анализа исполняемых файлов, окажется, что он заполнен огромным количеством пробелов — они и создают его «вес».

Разумеется, внутри файла, который выглядит как невинный контракт, скрывается целый букет зловредов. Компания Google, которая в курсе существующей проблемы, подобных атак и выявила различные виды используемых вредоносных программ. Среди них выделяется — именно его в последнее время в несчастьях блогеры.

Основная цель, которую злоумышленники достигают с помощью этих зловредов, — украсть сессионные токены из браузера жертвы. С помощью сессионных токенов или куки браузер «запоминает» пользователя, что позволяет ему не проходить каждый раз полный процесс аутентификации с введением пароля и проверкой второго фактора. То есть украденные токены дают возможность преступникам выдавать себя за аутентифицированных жертв и входить в аккаунты, не зная их учетные данные.

А что Google?​

Как я уже писала выше, Google в курсе существующей проблемы с 2019 года. В 2021 году компания выпустила большое исследование . Команда Google исследовала применяемые преступниками методы социальной инженерии, а также зловредов, которые они используют.

По результатам этой работы компания заявила, что предприняла ряд мер по защите пользователей:

  • Дополнила эвристические правила для обнаружения фишинговых писем, предотвращения кражи куки и блокировки трансляций, рекламирующих криптомошенничество.
  • Улучшила режим «Безопасного просмотра».
  • Автоматически восстановила 99% взломанных и впоследствии заблокированных каналов.
  • Усложнила процесс аутентификации, чтобы уведомлять пользователя о подозрительных действиях в его учетной записи.
Работают ли эти меры? Судя по самих ютуберов и по тому, что подобные взломы продолжают регулярно происходить (во время написания этого поста я сама обнаружила стримы с Илоном Маском на трех явно украденных каналах), — не очень. Все тот же Linus Tech был крайне тем, что для того, чтобы сменить название канала, его обложку и удалить все видео с канала, YouTube не просит пользователя ввести пароль и код второго фактора.

Защитите себя самостоятельно​

Чтобы не потерять контроль над собственным каналом, разумно будет принять ряд мер предосторожности. В первую очередь необходимо установить на все рабочие устройства , а также проводить регулярные тренинги по кибербезопасности с командой.

Каждый человек, имеющий доступ к бизнес-аккаунтам, должен:

  • знать типичные признаки фишинга;
  • уметь выявлять методы социальной инженерии;
  • не переходить по сомнительным ссылкам;
  • не скачивать заархивированные вложения и ни в коем случае не открывать их.

 
  • Теги
    youtube взлом взлом канала на youtube
  • Сверху Снизу