Как заработать миллионы рублей на угоне YouTube каналов
Многие ютуберы стали жертвами хорошо скоординированных фишинговых атак, где главной целью хакеров был угон чужих YouTube-каналов и финансовая выгода.
Всем салют, дорогие друзья!
Многие ютуберы стали жертвами хорошо скоординированных фишинговых атак, где главной целью хакеров был угон чужих YouTube-каналов и финансовая выгода. Происходило это два года назад, но в Google предали инцидент огласке только сейчас. Давай пройдемся по изложенным в отчете компании фактам и разберемся, что именно происходило.
Эта информация будет крайне полезной, т.к. с технической точки зрения ничего не изменилось. Подобные атаки можно легко провернуть и сегодня
Методы кражи аккаунтов
Два года назад множество ютуберов стали жертвами хорошо скоординированных фишинговых атак, где главной целью хакеров был угон чужих YouTube-каналов и финансовая выгода. За этими атаками стояло несколько лиц, которых организаторы схемы нанимали через объявления о вакансиях на русскоязычных хак‑форумах.
Таким образом ребята искали партнеров для проведения фишинговых атак и атак с использованием социальной инженерии. Согласно серии таких рекламных объявлений, партнерам группировки предлагалось получить 25% или 75% от доходов с украденного аккаунта, в зависимости от уровня их участия и сложности фишинга. Аккаунты обычно выставлялись на продажу по цене от 20 до 10 000 долларов США.
Еще в 2019 году на форумах поддержки Google стали появляться первые массовые жалобы на взлом аккаунтов YouTube 1, 2, 3, 4, 5. Причем от взломов страдали даже те аккаунты, владельцы которых пользовались двухфакторной аутентификацией.
Хакеры активно использовали в своих атаках фишинговые письма, а также социальную инженерию: специальные страницы фейкового ПО и учетные записи в социальных сетях.
Целью хакеров было заражение машин ютуберов малварью для кражи информации, которая выбиралась в зависимости от предпочтений каждого отдельного члена группировки. В этих атаках были задействованы такие вредоносные программы, как RedLine, Vidar, Predator The Thief, Nexus stealer, Azorult, Raccoon, Grand Stealer, Vikro Stealer, Masad и Kantal, а также опенсорсные решения (AdamantiumThief) и малварь, чей исходный код ранее утек в сеть (Sorano).
Когда тот или иной вредонос проникал на машину жертвы, он использовался для кражи учетных данных и файлов cookie браузера, что в итоге позволяло хакерам захватывать учетные записи, проводя атаки типа pass-the-cookie.
Как правило, загрузить малварь ютуберов вынуждали в несколько этапов, начиная общение с предложения о сотрудничестве или коллаборации. К примеру, участники группировки связывались с жертвами и просили их установить и протестировать различные приложения, а затем опубликовать на них отзыв или обзор. Приложения, обычно используемые в этих схемах, включали антивирусное ПО, клиенты VPN, музыкальные плееры, фоторедакторы, оптимизаторы ПК или онлайн‑игры. Внутри таких приложений, конечно, скрывалась малварь.
Google активно обнаруживал и блокировал фишинговые ссылки хакеров, отправляемые через Gmail, поэтому злоумышленники приглашали жертв продолжить общение в приложениях для обмена сообщениями, таких как WhatsApp, Telegram или Discord.
После того как цель соглашалась на сделку, ей давали ссылку на страницу с малварью, замаскированную под URL-адрес для загрузки ПО. Ссылка отправлялась в письме, в формате PDF на Google Drive, а в некоторых случаях использовались документы Google Docs, содержащие фишинговые ссылки.
Было выявлено 1011 доменов, связанных с этими атаками, и примерно 15 000 учетных записей, которые хакеры специально создали для данной кампании. Такие аккаунты использовались для отправки фишинговых писем, содержащих вредоносные ссылки.
Скомпрометированные описанным способом аккаунты и YouTube-каналы хакеры, как правило, выставляли на продажу. К примеру, еще пару лет назад мы отследили украденную учетную запись MarcoStyle, геймера из США, которая была угнана и вскоре появилась в продаже на русскоязычном сайте Trade Groups.
Основанный в 2014 году, этот сайт заявляет, что представляет собой простой маркетплейс, подобно Amazon, где любой желающий может зарегистрироваться, а затем выставить на продажу свои группы и учетные записи в социальных сетях. Хотя ресурс очень старается выглядеть легальным, однако, каждый день на нем выставляются сотни объявлений о продаже ворованных аккаунтов. Стоит отметить, что Trade Groups работает до сих пор и по‑прежнему предлагает такой же контент.
Упомянутый выше MarcoStyle сообщил, что перед взломом к нему обратились с предложением протестировать новый инструмент оптимизации игр под названием Orio и сделать его обзор.
«Как только я установил его, я понял, что что‑то не так. Я знал, что у меня включена 2ФА, но все равно потерял доступ к учетной записи. Человек, который прислал мне письмо, так и не ответил, а через несколько дней кто‑то сообщил мне, что моя учетная запись продается в интернете», — рассказывал MarcoStyle в 2019 году.
Как использовались аккаунты в дальнейшем
Мы наблюдали, что происходило с украденными аккаунтами на протяжении последующих лет. Как оказалось, многие покупатели ворованных аккаунтов прекрасно понимали, что за товар им достался, и осознавали, что в течение нескольких дней или недель учетная может вернуться к своему настоящему хозяину. Поэтому мошенники стремились монетизировать такие аккаунты быстро. К примеру, многие учетные записи использовались для размещения коротких стримов, чаще всего связанных с криптовалютным мошенничеством.
Название канала, изображение профиля и контент заменялись брендом криптовалюты, чтобы выдать [канал] за крупную фирму или криптовалютную биржу. Злоумышленник транслировал видео в прямом эфире, обещая раздачу криптовалюты в обмен на первоначальный взнос
Мы видели, как похищенные учетные записи переименовывались в официальные аккаунты Билла Гейлса, Илона Маска или Линуса Торвальдса, и все они в итоге продвигали различное мошенничество и криптовалютные схемы Понци.
Обычно, показывая ролики, в которых знаменитости обсуждают криптовалюты и связанные с блокчейном темы (как правило, это записи каких‑то старых интервью и выступлений), мошенники просят зрителей прислать им небольшое количество криптовалюты, обещая удвоить и вернуть любую полученную сумму.
Отметим, что подобные мошеннические схемы исправно приносят хакерам хорошую прибыль. Хотя годы идут и у многих известных людей в профилях давно появились не только галочки верификации аккаунтов, но и недвусмысленные приписки в духе «Не раздаю криптовалюту!», множество пользователей по‑прежнему верит в такие фейки и полагает, что Илон Маск, братья Уинклвосс, Билл Гейтс и другие известные личности действительно могут раздавать «лишние» биткойны всем желающим.
Например, в 2018 году такая афера в Twitter принесла мошенникам более 180 000 долларов всего за один день, а в начале 2021 года мошенники, выдававшие себя за Илона Маска, «заработали» на доверчивых пользователях более 580 000 долларов за неделю.
Ситуация с подобными фейками порой доходит до абсурда. YouTube не просто пассивно допускает размещение подобных видео. Более того, рекомендательные алгоритмы YouTube продвигают подобные ролики среди криптовалютных энтузиастов и в данные видео встраивалась реклама, то есть платформа получала прямую прибыль от мошеннических видео.
Однако, угнанные каналы могут использоваться для других целей. К примеру, еще в 2020 году было обнаружено, что в даркнете растет интерес к учетным данным от YouTube-каналов. Так как YouTube предоставляет киберпреступникам новую аудиторию, ее можно монетизировать самыми разными способами, от мошенничества до рекламы. В редких случаях у владельцев украденных каналов вымогали выкуп, угрожая в случае неоплаты попросту продать канал.
На сегодня мы заканчиваем. При правильном подходе данная информация все еще способна принести солидные суммы в ваши карманы. Желаем удачи!
