Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

Bezpiecze艅stwo w InternecieMedia Spo艂eczno艣ciowe

Czym s膮 ataki typu Stream-Jacking na konta YouTube i dlaczego s膮 one tak popularne?

Piotr R

12 pa藕dziernika 2023

W ostatnich miesi膮cach ataki polegaj膮ce na przechwytywaniu stream贸w zyska艂y na popularno艣ci w du偶ych serwisach przesy艂ania strumieniowego, a cyberprzest臋pcy atakuj膮 znane konta (z du偶膮 liczb膮 obserwuj膮cych), aby wysy艂a膰 swoje wiadomo艣ci z oszustwami do mas.

R贸偶ne przej臋cia kont na serwisach streamingowych w przesz艂o艣ci skutkowa艂y tym, 偶e kana艂y przekszta艂ci艂y si臋 w podszywanie pod znane osoby publiczne (np. Elona Muska, Changpeng Zhao), kt贸re promowa艂y r贸偶ne oszustwa (np. scam polegaj膮cy na podwajaniu kryptowalut). Dlatego zesp贸艂 Bitdefender przygotowa艂 dok艂adn膮 analiz臋 niedawnych kradzie偶y kont na Youtubie.

Scam

Ataki na konta YouTube 鈥 geneza

W ostatnim czasie pojawi艂o si臋 wiele podejrzanych wyskakuj膮cych okienek z transmisjami na 偶ywo na kana艂ach u偶ytkownik贸w YouTube, kt贸re promuj膮 te same podejrzane tre艣ci. Chocia偶 kana艂y te s膮 r贸偶ne, wydaje si臋, 偶e maj膮 ze sob膮 wiele wsp贸lnego:

A) Nazwy kana艂贸w pr贸buj膮 przedstawia膰 je jako Tesla, z r贸偶nymi odmianami: Tesla urz臋dnik, Tesla US, Tesla News, Tesla (Inc)

  • Wiele nazw to tak naprawd臋 homoglify, w kt贸rych liter臋 鈥瀕鈥 zast臋puje si臋 du偶膮 鈥瀒 (I)鈥: TesIa, TesIa Factory, TesIa Motors itp.

B) Domeny kana艂贸w s膮 r贸wnie偶 odmianami Tesli. Niekt贸re z nich zawieraj膮 znaki szumu, takie jak 鈥瀇鈥 i 鈥-鈥

  • @tesla 鈥 my_
  • @tesla-corp.
  • @ustesialive
  • @tesla_us_live24
  • @teslalive2023us-dyrektor generalny
  • @tesla 鈥 inc.

C) Tytu艂y s膮 takie same i maj膮 stosunkowo ograniczon膮 r贸偶norodno艣膰:

  • Nowa era Tesli Model 3 鈥 zaprezentuj na 偶ywo z Elonem Muskiem!
  • Nowa era Tesli Model 3 鈥 zaprezentuj na 偶ywo z Elonem
  • Muskiem! Twitter zmienia mark臋 na X!
  • Transmisja na 偶ywo prezentacji Tesli Model 3 2024 z udzia艂em Elona Muska!
  • Dyrektor generalny Elon Musk przedstawia: zapowied藕 na 偶ywo ulepszonego modelu Tesli 3 2024!
  • Rebranding X na Twitterze: og艂oszenie na 偶ywo Elona Muska i ods艂oni臋cie logo!
  • Relacja i analiza raportu o zarobkach Tesli w drugim kwartale 鈥 prezentacja na 偶ywo z Elonem Muskiem!
  • SpaceX wystrzeli艂 misj臋 Hughes JUPITER 3! Elon Musk publikuje najnowsze informacje na temat Starship!
  • Zapowied藕 na 偶ywo z Elonem Muskiem 鈥 nowa era dla Modelu 3 Tesli!
  • Elon Musk: Czy w 2050 r. kupi艂by艣 w pe艂ni elektryczny lataj膮cy samoch贸d Tesli?
  • Start rakiety SpaceX Jupiter 3 Falcon Heavy! Elon Musk publikuje najnowsze informacje na temat Starship!
  • Elon Musk prezentuje dzi艣 nowy model Tesli S Plaid 2024!
  • Tesla prezentuje dzi艣 zupe艂nie nowy Model S Plaid 2024! Relacja na 偶ywo z Elonem Muskiem!
  • NA 呕YWO: Tesla prezentuje arcydzie艂o: Tesl臋, kt贸ra na zawsze zmieni przemys艂 samochodowy 鈥 dyrektor generalny Tesli
  • Transmisja na 偶ywo Tesli w USA
  • Opis i tagi film贸w s膮 w du偶ej mierze takie same
  • Miniatury transmisji na 偶ywo i kana艂贸w s膮 zwykle takie same
  • Banery kana艂贸w s膮 zazwyczaj takie same

Po odkryciu tych podobie艅stw do艣膰 jasne by艂oby stwierdzenie, 偶e w dystrybucji takich og贸lnych i wprowadzaj膮cych w b艂膮d tre艣ci dzieje si臋 co艣 podejrzanego.
Po r臋cznej kontroli wydaje si臋, 偶e zawarto艣膰 transmisji na 偶ywo to zwykle zap臋tlony film b臋d膮cy w艂asno艣ci膮 Tesli lub zawieraj膮cy Elona Muska (na przyk艂ad doroczne zgromadzenie akcjonariuszy w 2023 r.).

Tesla 鈥 najcz臋stszy wabik na u偶ytkownik贸w YouTuba

Nie s膮 to jednak zwyk艂e retransmisje/ponowne przes艂ania przez kana艂y fan贸w, ale raczej retransmisje, kt贸re same w sobie zawieraj膮 oszustwo. Sekcje komentarzy wszystkich wykrytych z艂o艣liwych transmisji na 偶ywo s膮 wy艂膮czone lub w艂膮czone. Ale tutaj jest haczyk: komentowa膰 mog膮 tylko subskrybenci maj膮cy 10 lub 15 lat. Uniemo偶liwia to u偶ytkownikom 艣wiadomym oszustwa komentowanie i ostrzeganie innych.

Obserwacja takich 鈥瀘peracji na du偶膮 skal臋鈥 sk艂oni艂a zesp贸艂 Bitdefender do zastanowienia si臋 nad kana艂ami stoj膮cymi za tymi oszustwami, a po bli偶szym przyjrzeniu si臋 im specjali艣ci zauwa偶yli, 偶e wi臋kszo艣膰 kana艂贸w YouTube zosta艂a w rzeczywisto艣ci przej臋ta/skradziona.

Wi臋kszo艣膰 tych 鈥瀦艂o艣liwych鈥 kana艂贸w nie zawiera 偶adnych innych tre艣ci ni偶 same oszustwa zwi膮zane z transmisj膮 na 偶ywo 鈥 zak艂ada si臋, 偶e wszystkie oryginalne filmy zosta艂y ustawione jako prywatne lub usuni臋te, poniewa偶 w 偶aden spos贸b nie mo偶na ich wykry膰. Wygl膮da na to, 偶e opis kana艂u r贸wnie偶 zosta艂 zmieniony, aby przypomina艂 oficjalny kana艂 Tesli, a inne istotne tre艣ci, takie jak playlisty, prawdopodobnie r贸wnie偶 zosta艂y usuni臋te.

Proces ten jest najprawdopodobniej zautomatyzowany, gdy偶 przeprowadzenie operacji na tak du偶膮 skal臋 by艂oby czasoch艂onne i mog艂oby potencjalnie da膰 faktycznemu w艂a艣cicielowi kana艂u wystarczaj膮co du偶o czasu na wykrycie podejrzanych zachowa艅.

Co wi臋cej, niekt贸re ze skradzionych kana艂贸w wy艣wietlaj膮 oficjalne playlisty Tesli, aby wygl膮da膰 na legalne.

W niekt贸rych przypadkach nazwa kana艂u lub nick nie uleg艂y zmianie (na szcz臋艣cie YouTube ma limit dw贸ch zmian w ci膮gu dw贸ch tygodni), r贸wnie偶 playlisty, posty spo艂eczno艣ci, a nawet filmy na kanale s膮 nadal obecne. Niestety, w wi臋kszo艣ci analizowanych przypadk贸w wydaje si臋, 偶e je艣li YouTube wykryje z艂o艣liw膮 aktywno艣膰, faktyczne kana艂y zostan膮 ca艂kowicie usuni臋te. Oznacza to, 偶e prawowity w艂a艣ciciel kana艂u straci wszystko (filmy, playlisty, wy艣wietlenia, subskrybent贸w, monetyzacj臋 i wszystko, co wykracza poza sam kana艂 YouTube, pozostaj膮c jednocze艣nie powi膮zanym), chyba 偶e zostan膮 podj臋te rozmowy z YouTube.

W przypadkach, w kt贸rych sekcja komentarzy jest przeznaczona wy艂膮cznie dla subskrybent贸w, albo wybrani przez kana艂 moderatorzy mog膮 zostawia膰 komentarze, kt贸re prowadz膮 u偶ytkownik贸w do stron zawieraj膮cych oszustwa zwi膮zane z kryptowalutami, obiecuj膮cych zmieniaj膮ce 偶ycie zyski przy zmniejszonej dost臋pno艣ci, najprawdopodobniej mamy do czynienia ze scamem. Moderatorzy ci u偶ywaj膮 r贸wnie偶 awatar贸w kana艂贸w przedstawiaj膮cych Elona Muska.

Phishing i Deepfake w r臋kach cyberprzest臋pc贸w na YouTubie

Innym wsp贸lnym szczeg贸艂em obu transmisji na 偶ywo z w艂膮czonymi i wy艂膮czonymi komentarzami jest to, 偶e osoby atakuj膮ce osadzaj膮 kod QR w fragmentach wideo prowadz膮cych do strony phishingowej. Je艣li sekcja komentarzy jest w艂膮czona, moderatorzy zamieszczaj膮 ten sam link, kt贸ry mo偶na znale藕膰 w kodzie QR.

Linki propagowane za po艣rednictwem przej臋tych kana艂贸w YouTube promuj膮 podobne i dobrze znane oszustwo. Podst臋p polega na wys艂aniu dowolnej ilo艣ci kryptowaluty (Bitcoin, Ethereum, USDT, Dogecoin, BNB, Shiba Inu itp.) i obiecuje zwr贸ci膰 oszukanej osobie podw贸jn膮 kwot臋. W rzadkich przypadkach linki phishingowe s膮 zapisywane bezpo艣rednio w filmie.

Bitdefender wykry艂 r贸wnie偶 przypadki, w kt贸rych d藕wi臋k i wideo zap臋tlone w transmisji na 偶ywo s膮 deepfake鈥檃mi Elona Muska, za pomoc膮 kt贸rych hakerzy pr贸buj膮 promowa膰 kryptowaluty i wszelkie zwi膮zane z nimi wydarzenia w odno艣nikach (oszustwo polegaj膮ce na podwajaniu kryptowalut). Deepfake鈥檌 audio s膮 wysokiej jako艣ci i przeci臋tnemu widzowi mog膮 wydawa膰 si臋 autentyczne. Bitdefender podczas analizy doszed艂 r贸wnie偶 do wniosku, 偶e niekt贸re transmisje na 偶ywo maj膮 zwi臋kszon膮 ogl膮dalno艣膰 na pocz膮tku transmisji, dzi臋ki czemu wydaj膮 si臋 one bardziej godne zaufania w oczach opinii publicznej. Jednak gdy tylko zwi臋kszanie liczby wy艣wietle艅 ustanie, widzimy liczne oszuka艅cze transmisje na 偶ywo z zaledwie 1 lub 2 widzami.

To samo tyczy si臋 liczby abonent贸w 鈥 cho膰 jest wystarczaj膮co du偶o kana艂贸w, kt贸re maj膮 ma艂膮 liczb臋 abonent贸w, to mediana warto艣ci z analizy Bitdefender jest bliska 2300. Wskazuje to na potencjalny wzrost liczby abonent贸w.

Bitdefender wywnioskowa艂 r贸wnie偶, 偶e wszystkie zbadane przez nich strony zosta艂y utworzone przy u偶yciu zautomatyzowanego oprogramowania (zestaw贸w do phishingu).

Kolejnym interesuj膮cym szczeg贸艂em jest to, 偶e strony te pr贸buj膮 uniemo偶liwi膰 zapisywanie zawarto艣ci strony na dysku lub otwieranie narz臋dzi programistycznych za pomoc膮 skr贸t贸w klawiaturowych. Spowoduje to przekierowanie (艣wiadome lub omy艂kowe) na stron臋 zawieraj膮c膮 szczeg贸艂owe informacje na temat potencjalnej osoby stoj膮cej za stworzeniem zestaw贸w do phishingu.

Ponadto sugerowany jest kana艂 Telegramu i wymienione s膮 og贸lne szczeg贸艂y zestawu (liczba szablon贸w, 艂atwo艣膰 instalacji i konfiguracji itp.).

Po przeszukaniu wspomnianej grupy Telegramu zostaje znaleziona kolejna interesuj膮ca grupa, w kt贸rej ugrupowanie zagra偶aj膮ce promuje zestawy phishingowe.

Zestawy promowane w grupie telegram贸w s膮 identyczne z tymi, kt贸re mo偶na znale藕膰 na przej臋tych kana艂ach YouTube. Strony internetowe zazwyczaj przedstawiaj膮 Elona Muska jako centraln膮 posta膰 i s膮 zaprojektowane tak, aby by艂y atrakcyjne wizualnie. Co wi臋cej, wydaje si臋, 偶e te witryny maj膮 wtyczki do czatu na 偶ywo, kt贸re umo偶liwiaj膮 u偶ytkownikowi ko艅cowemu komunikacj臋 z tak zwanym 鈥瀦espo艂em wsparcia鈥.

Otrzymywanie odpowiedzi nie jest zbyt cz臋ste, ale gdy ju偶 nast膮pi, zazwyczaj pr贸buj膮 one nak艂oni膰 Ci臋 do wys艂ania okre艣lonej kwoty kryptowaluty na wskazane adresy, jednocze艣nie zapewniaj膮c o legalno艣ci procedury.

Nie jest jasne, czy na czatach na 偶ywo odpowiadaj膮 prawdziwi ludzie, czy te偶 procedura jest zautomatyzowana przy u偶yciu modeli wieloj臋zycznych.

Stosuj膮c zar贸wno procedury automatyczne, jak i r臋czne, Bitdefender znalaz艂 ponad 1300 film贸w promuj膮cych oszustwa zwi膮zane z kryptowalutami w podobnych witrynach internetowych, kt贸re prawdopodobnie pochodzi艂y z tego samego zestawu do phishingu. Do艣膰 cz臋sto zdarza si臋, 偶e filmy wideo wskazuj膮 t臋 sam膮 witryn臋 internetow膮, ale dotychczas odnaleziono ponad 150 r贸偶nych witryn.

Wszystkie promowane strony z oszustwami maj膮 ochron臋 Cloudflare, co zwi臋ksza trudno艣膰 ich automatycznej analizy.

Bezpiecznym za艂o偶eniem by艂oby to, 偶e wiele film贸w, kt贸re r贸wnie偶 nale偶膮 do tej samej kategorii co powy偶sze, zosta艂o pomini臋tych z nast臋pnych powod贸w:

  • Kana艂y s膮 usuwane przez YouTube, zanim tre艣ci zostan膮 znalezione 鈥 nie wydaje si臋, aby istnia艂a prawid艂owo艣膰 w tym kierunku. Niekt贸re nagrania transmisji na 偶ywo przetrwa艂y tygodnie, inne zosta艂y usuni臋te w ci膮gu kilku minut lub sekund;
  • Pierwotni w艂a艣ciciele kana艂贸w odkrywaj膮 oszustwo i podejmuj膮 niezb臋dne kroki w celu wyeliminowania z艂o艣liwych tre艣ci i zablokowania atakuj膮cych;
  • Ograniczenia zwi膮zane z wyszukiwaniem r臋cznym i automatycznym 鈥 r贸偶norodno艣膰 tych oszustw mo偶e by膰 znacznie wi臋ksza ni偶 to, co znale藕li艣my.
    Wp艂yw takich fa艂szywych program贸w wida膰 w spo艂eczno艣ci odzyskanych kana艂贸w. Podczas gdy niekt贸re kana艂y przywracaj膮 porz膮dek wieloetapowo, zatrzymuj膮c transmisje na 偶ywo i przywracaj膮c filmom status publiczny, nazwa kana艂u pozostaje niezmieniona, mimo 偶e pomy艣lnie przywr贸cono oryginaln膮 nazw臋.

Inne kana艂y nie mog膮 zosta膰 przywr贸cone natychmiastowo, a istniej膮 wyra藕ne dowody na to, 偶e zosta艂y zbanowane lub ca艂kowicie usuni臋te z powodu naruszenia warunk贸w korzystania z YouTube. Szczeg贸艂y odzyskania konta po jego oficjalnym usuni臋ciu przez YouTube nie s膮 powszechnie znane, ale wydaje si臋 to mo偶liwe.

Ca艂kowite usuni臋cie konta z YouTube na kilka dni mo偶e skutkowa膰 zar贸wno stratami emocjonalnymi, jak i finansowymi dla w艂a艣ciciela konta (raporty SocialBlade wskazuj膮, 偶e kana艂y z du偶膮 liczb膮 wy艣wietle艅, na przyk艂ad liczon膮 w setkach milion贸w, mog膮 sko艅czy膰 si臋 strat膮 dziesi膮tek tysi臋cy dolar贸w).

Konta, kt贸re nie maj膮 du偶ej liczby subskrybent贸w i wy艣wietle艅, mog膮 nigdy nie odzyska膰 danych.

Zjawisko kradzie偶y kont na YouTube w liczbach

Uwaga: dane zbierano w okresie od 27.07.2023 do 28.09.2023
Dalsza analiza uzyskanych danych prowadzi do nast臋puj膮cych interesuj膮cych pomiar贸w:

  • Maksymalna liczba subskrybent贸w przej臋tego konta: ~9 990 000 (na jedno konto)
  • Maksymalna liczba wy艣wietle艅 przej臋tego konta: ~3.643.275.137 (ca艂kowita liczba wy艣wietle艅/jeden kana艂)
  • Warto艣膰 mediany liczby abonent贸w: ~ 2260
  • Wy艣wietl liczb臋 warto艣ci mediany kana艂u: ~ 211 820
  • Ca艂kowita liczba subskrybent贸w z 10 najwi臋kszych przej臋tych kana艂贸w: ~ 36 950 000
  • Ca艂kowita liczba wy艣wietle艅 z 10 najcz臋艣ciej ogl膮danych przej臋tych kana艂贸w: ~ 10.356.700.312
  • Liczba r贸偶nych kana艂贸w, kt贸re zosta艂y przej臋te: 1190 i ro艣nie
  • Liczba znalezionych odr臋bnych transmisji na 偶ywo: 1370 i ro艣nie
  • Wydaje si臋, 偶e istniej膮 przyk艂ady przej臋tych kana艂贸w nale偶膮cych do podmiot贸w rz膮dowych
  • Wi臋kszo艣膰 porwanych kana艂贸w wykorzystuje odmian臋 oficjalnego logo Tesli lub nawet samego oficjalnego logo, przy czym ponad po艂owa promowanych film贸w korzysta z tego samego opisu

Kana艂y YouTube ze znaczn膮 liczb膮 subskrybent贸w s膮 wysoce po偶膮dane przez cyberprzest臋pc贸w, kt贸rzy mog膮 na nich zarobi膰, 偶膮daj膮c okupu od prawowitego w艂a艣ciciela lub rozpowszechniaj膮c oszustwa i z艂o艣liwe oprogramowanie w艣r贸d kont odbiorc贸w.

Cykl 偶ycia oszustw YouTube rozprzestrzenianych za po艣rednictwem g艂o艣nych reklam mo偶e by膰 r贸偶ny, ale niezale偶nie od przypadku hakerzy zwykle post臋puj膮 wed艂ug tego samego sposobu 鈥 przyci膮gaj膮c swoj膮 ofiar臋, wykorzystuj膮c znane marki lub osobisto艣ci do oszukiwania nieostro偶nych widz贸w.


Autor


Piotr R

Account Manager, od ponad roku pracuj臋 w bran偶y IT i od ponad 5 lat jestem copywriterem. Do moich zada艅 nale偶y nawi膮zywanie wsp贸艂pracy partnerskich, pisanie i redagowanie tekst贸w, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach spo艂eczno艣ciowych. Wcze艣niej by艂em przez kilka lat zwi膮zany z bran偶膮 OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuj臋 si臋 j臋zykoznawstwem, literatur膮, gr膮 na gitarze oraz bran偶膮 gier.

Zobacz posty autora


Artyku艂y kt贸re mog膮 Ci si臋 spodoba膰

    Formularz kontaktowy

    Wybierz odpowiedni膮 opcj臋 aby przej艣膰 do formularza kontaktowego. Odpowiemy najszybciej jak to mo偶liwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy