Мошенникам не всегда нужен пароль, чтобы взломать аккаунт на YouTube
Злоумышленники могут украсть доступ к аккаунту на YouTube, даже не зная пароль и второй фактор. Мошенникам удаётся получать доступ к каналам, даже если те защищены сильным паролем и двухфакторной аутентификацией. Атаки такого типа называются pass-the-cookie attack, и они нацелены именно на владельцев аккаунтов в YouTube.
Зачем вообще взламывают каналы? Обычно цели две: злоумышленники либо требуют выкуп за возвращение доступа, либо им нужен сам канал, его большая аудитория. Если второе, то после взлома злоумышленники подменяют название канала, его обложку и содержимое. Как правило, они выдают канал за видеоблог какой-нибудь крупной компании, а затем начинают распространять на нём мошеннические видео, в том числе на тему лёгкого заработка на криптовалютах.
Справедливости ради, администраторы YouTube достаточно быстро идентифицируют мошеннические видео и блокируют их, но настоящему владельцу приходится долго заниматься восстановлением доступа. Кроме того, гарантий, что доступ вернут, нет.
Как же злоумышленники захватывают канал без пароля? Главное — захватить сессионные токены, то есть по сути ключи от ресурса. С их помощью браузер "запоминает" пользователя, что позволяет ему не проходить каждый раз полный процесс аутентификации с введением пароля и проверкой второго фактора.
Начинается атака так: на электронную почту блогеру приходит письмо с предложением сотрудничества. Если сотрудник канала в ответ отправляет стоимость интеграции, то есть вступает в переписку, он получает новое письмо — якобы с договором в виде архива либо в виде ссылки на облачный сервис, где можно скачать архив. Если файлы разархивировать (а они очень "тяжёлые", из-за чего их пропускают без проверки многие защитные решения), то на устройстве окажется сразу несколько вредоносных программ. Одна из них — троянец-стилер RedLine. Он-то и крадёт токены. Это позволяет мошенникам выдавать себя за аутентифицированных жертв и входить в аккаунты, не зная их учётные данные.
Google в курсе проблемы и принимает меры защиты, но пока они, к сожалению, недостаточно эффективны. Как пожаловался один из блогеров, ставший жертвой такой схемы, чтобы сменить название канала, его обложку и удалить все видео с канала, YouTube не просит пользователя ввести пароль и код второго фактора.
Чтобы не потерять контроль над собственным каналом, разумно будет принять ряд мер предосторожности. В первую очередь, необходимо установить на все устройства надёжное защитное решение. Если речь идёт о бизнес-аккаунте, которым управляют несколько человек, важно регулярно проговаривать с ними правила кибербезопасности, освещать, какие мошеннические схемы существуют и какие меры предосторожности нужно соблюдать. Каждый сотрудник с доступом к бизнес-аккаунтам в YouTube должен знать типичные признаки фишинга; уметь выявлять методы социальной инженерии; не переходить по сомнительным ссылкам; не скачивать заархивированные вложения и ни в коем случае не открывать их.
Валерий Зубанов, управляющий директор "Лаборатории Касперского" в Казахстане, Средней Азии и Монголии.