На прошлых выходных зафиксирован пик взломов YouTube-каналов, посвященных автомобильной тематике.
В течение последних нескольких дней владельцы YouTube-каналов массово подвергались кибератакам, причем больше всех досталось каналам, посвященным обзорам автомобилей и автотюнингу. В частности, среди жертв злоумышленников оказались популярные каналы Built, Troy Sowers, MaxtChekVids, Musafir и PURE Function.
Помимо автомобильного сообщества, кибератакам также подверглись создатели видеоконтента других направлений. Пик атак пришелся на прошедшие выходные. Все указывает на то, что все инциденты связаны между собой и являются частью одной масштабной кампании. Потенциальные жертвы получали письма с ссылками на фишинговые сайты, где у них выманивались учетные данные.
Как сообщил журналистам ZDNet один из пострадавших пользователей, которому удалось восстановить доступ к своей учетной записи YouTube, злоумышленники заманили его на поддельную страницу авторизации Google, выманили учетные данные и с их помощью авторизовались в его учетной записи. Затем они привязали его YouTube-канал к новому владельцу и изменили семантический URL-адрес таким образом, чтобы для настоящего владельца и его подписчиков все выглядело так, будто аккаунт был удален.
В представленном ниже видеоролике на канале Life of Palos сообщается о киберпреступной кампании (с 1:50).
Как сообщает Life of Palos, злоумышленникам каким-то образом удалось обойти двухфакторную аутентификацию. По мнению авторов видео, киберпреступники могли воспользоваться инструментом Modlishka, представляющим собой обратный прокси и способный в частности перехватывать SMS-сообщения с проверочными кодами. Правда, никаких прямых доказательств использования Modlishka пока нет.
Как пояснил журналистам ZDNet промышляющий продажей взломанных аккаунтов хакер Askamani, недавняя кампания похожа на «обычный бизнес». «Кампании, направленные на владельцев автомобильных каналов, – привычное дело. Значит, кто-то положил руку на списки электронных адресов пользователей, интересующихся определенной тематикой.[…] Можно спамить любых случайных людей, но получить доступ к учетным записям с большим числом подписчиков не получится. Если, как вы сказали, наблюдается всплеск жалоб, значит, кто-то заполучил настоящую отличную базу данных и теперь пытается на ней заработать», – пояснил Askamani.
По словам хакера, теперь киберпреступники должны поспешить с продажей, пока настоящие владельцы не вернули себе доступ к учетным записям, и они не обесценились.
