YouTuber已成钓鱼信件首要的攻击目标之一。Google指出,不法集团锁定YouTuber发送以商业合作为名目的钓鱼信件,并发动“pass-the-cookie”手法攻击,旨在劫持YouTube频道,单单今年5月来,该公司已经封锁了160万此类钓鱼信件。
Google威胁分析小组(Google Threat Analysis)自2019年底起,侦测到针对YouTuber发动、以金钱为目的的钓鱼信件攻击。近日一群在俄语论坛上召募而成的黑客,向YouTuber发送信件谎称有商业合作机会,例如示范杀毒软件、VPN、音乐播放软件、照片编辑或线上游戏,以提高受害者上宕几率。
黑客主要是引诱YouTuber连到恶意网站以下载恶意软件。不法人士先搜集YouTuber在频道上显示的电子邮件,再以假账号发送造假的公司及产品介绍钓鱼信件以寻求合作。等YouTuber同意合作后,再发送含有恶意连接的电子邮件、Google Drive PDF文件或Google文件,将YouTuber导向恶意网站以下载所谓的“试用软件”。
受害YouTuber下载的软件,其实是用以发动“Cookie窃取”或称“pass the cookie”攻击的恶意软件。一旦下载到计算机,就会在受害者计算机上搜集存储在浏览器内cookies,目的在访问并劫持YouTuber的YouTube账号及频道。
许多被劫持的YouTube频道,网站元素包括名称、图片、内容都会被变更成加密货币诈骗流媒体频道。攻击者播放流媒体视频,以赠送加密货币为饵向广大用户吸金。研究人员指出,在账号交易市场,劫持YouTube频道视订阅户数量而定,兜售价格从3美元一直到4,000美元不等。
Google研究人员Ashley Shen指出,pass the cookie攻击已经存在数十年,但最近又再度活跃。可能是因为多因素验证(MfA)的安全措施使用日愈普及,迫使攻击者转用社交工程,以钓鱼信件来提高攻击成功率。
Google侦测到这波攻击中约有1.5万个假账号,被用来发送钓鱼信件或文件,此外,他们也识别出至少有1000多个域名为此设立,以假冒公司网站及下载恶意软件。遭到冒充的公司包括Luminar、Cisco、Steam等。
而用于Cookie窃取的工具许多可在GitHub上免费下载,也有一些可购得的工具,包括RedLine、Vidar、Predator The Thief、Nexus stealer、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad、Kantal。
Google旗下YouTube、Gmail、网络犯罪调查部门、安全上网技术部门联手合作,今年5月以来,已封锁了160万封此类消息及2,400多个恶意文件、显示近6.2万次钓渔网页警告,并回复将近4,000个被劫持的YouTube账号。
研究人员提醒用户应留意是否有恶意网站的警告消息、执行软件前都应先扫毒、小心下载的文件是否为加密压缩文件(因为杀毒软件无法扫描)、并激活双重验证,以免连到了钓渔网站。