Kako prevaranti mogu da hakuju vaš YouTube kanal bez lozinke i drugog faktora autentifikacije?
Pre nešto više od dva meseca, popularni jutjuber Linus Tech je hakovan a sva tri njegova YouTube kanala, sa milionima pretplatnika, pala su u ruke sajber kriminalaca koji su sadržaj hakovanih kanala zamenili strimovima sa reklamama za kriptovalute. Linus Tech je tvrdio da je svoje naloge zaštitio jakom lozinkom i dvofaktorskom autentifikacijom, ali to izgleda nije mnogo pomoglo.
Šta se zapravo dogodilo? Linus Tech je bio žrtva „pass-the-cookie“ napada, uobičajenog metoda za ciljanje jutjubera.
Kanali poznatih i manje poznatih jutjubera se obično preuzimaju ili zbog iznude ili zbog publike, kao što je bio slučaj sa Linus Techom. U ovom drugom slučaju, nakon hakovanja kanala, napadači menjaju ime, sliku profila i sadržaj.
Tako se umesto kanala o tehnološkim inovacijama, pojavljuje kanal koji se predstavlja kao nalog neke velike kompanije (najčešće Tesle) sa odgovarajućom slikom profila. Nakon toga, napadači ga koriste za emitovanje snimaka Ilona Maska koji govori o kriptovaluti. Sav drugi sadržaj kanala se obično uklanja.
U isto vreme, u četu se pojavljuje link za sajt „jedinstvene promocije kriptovalute“. Na primer, Mask navodno poklanja kriptovalutu. Da bi je dobili, od korisnika se traži da prebace svoja kripto sredstva u određeni novčanik, nakon čega će navodno dobiti duplo više.
Zanimljivo je da prevaranti često postavljaju ograničenja u ćaskanju: samo korisnici koji su pretplaćeni na kanal više od 15 ili čak 20 godina mogu da ostavljaju poruke, iako u to vreme kanal nije postojao, a možda ni sam YouTube koji se pojavio 2005. godine.
YouTube brzo blokira strim zbog „kršenja smernica zajednice“, ali to znači i da je sam kanal nesrećnog vlasnika blokiran. Pred njim je ozbiljan izazov: da vrati kanal i dokaže platformi da nije on taj koji je odgovoran za linkove ka lažnim sajtovima i reklamiranje prevare.
U slučaju Linus Techa, ovo je bilo relativno lako. Njegov kanal je vraćen za nekoliko sati, iako je izgubio monetizaciju istog dana. Međutim, jutjuberima sa manjom publikom trebalo bi mnogo više vremena i truda da to urade, ako bi uopšte bilo moguće.
Da bi hakovali YouTube kanal, napadačima ne trebaju akreditivi vlasnika. Tokeni sesije će im biti dovoljni.
Tipičan napad na YouTube kanal počinje imejlom kompanije koja predlaže saradnju. Ovo može biti VPN servis, proizvođač video igara ili čak antivirusa. U tom prvom imejlu nema ničeg sumnjivog, tako da jutjuber odgovara standardnom porukom sa detaljima o naknadama za reklamiranje proizvoda.
Sledeći imejl je daleko opasniji. U njemu prevaranti šalju arhivu koja navodno sadrži ugovor, ili link za preuzimanje arhive u oblaku, kao i lozinku za ovu arhivu. Da bi imejl bio ubedljiviji, napadači često dodaju link za veb sajt ili nalog na društvenoj mreži koji je povezan sa proizvodom koji žele da jutjuber reklamira. Link može da vodi ili na sajt legitimne kompanije ili na lažni sajt.
Ako jutjuber ili neko iz njegovog tima ako ga ima, ne budu pažljivi i otvore arhivu, naći će jedan ili više dokumenata koji mogu izgledati kao obični Word ili PDF fajlovi. Jedino što im može biti sumnjivo je to što su svi fajlovi prilično veliki (više od 700 MB), što onemogućava njihovo skeniranje na servisima kao što je VirusTotal. Mnoga bezbednosna rešenja će ih preskočiti iz istog razloga. Otvaranje fajlova specijalnim alatima za analizu otkriva prisustvo velikog broja praznih prostora, što čini ove dokumente tako velikim.
Na taj način, unutar fajla koji izgleda kao ugovor, sajber-kriminalaci kriju čitav niz malvera.
Svestan problema, Google je analizirao takve napade i identifikovao različite malvere koje sajber kriminalci koriste za hakovanje YouTube kanala. Među njima je bio i trojanac RedLine, kojeg u poslednje vreme mnogi jutjuberi okrivljuju za gubitak kanala.
Napadači koriste ovaj malver zbog krađe tokena sesije iz veb pregledača žrtve. Uz pomoć tokena sesije ili kolačića, pretraživač „pamti” korisnika, omogućavajući mu da izbegne da svaki put prolazi ceo proces autentifikacije sa lozinkom i drugim faktorom autentifikacije.
Ukradeni tokeni omogućavaju sajber kriminalcima da imitiraju žrtve i da se prijave na njihove naloge bez akreditiva.
Google je svestan problema od 2019. godine te je zato kompanija preduzela niz mera da zaštiti korisnike.
Ali da li te mere funkcionišu u praksi? Sudeći po komentarima samih jutjubera i činjenici da se takvi napadi i dalje često dešavaju odgovor je – ne baš.
Zato korisnici moraju sami da zaštite svoj kanal a to podrazumeva niz mera predostrožnosti. Pre svega, instaliranje pouzdane zaštite na svim uređajima. Svako ko ima pristup poslovnim nalozima mora da zna da prepozna tipične znake fišinga i društvenog inženjeringa, a to znači da morate biti spremni na kontinuiranu edukaciju i veoma informisani. Naravno, nikada ne otvarajte sumnjive linkove i ne preuzimajte niti otvarajte arhive u imejlovima za koje niste sasvim sigurni ko stoji iza njih.