Czym są ataki typu Stream-Jacking na konta YouTube i dlaczego są one tak popularne?

W ostatnich miesiącach ataki polegające na przechwytywaniu streamów zyskały na popularności w dużych serwisach przesyłania strumieniowego, a cyberprzestępcy atakują znane konta (z dużą liczbą obserwujących), aby wysyłać swoje wiadomości z oszustwami do mas.

Różne przejęcia kont na serwisach streamingowych w przeszłości skutkowały tym, że kanały przekształciły się w podszywanie pod znane osoby publiczne (np. Elona Muska, Changpeng Zhao), które promowały różne oszustwa (np. scam polegający na podwajaniu kryptowalut). Dlatego zespół Bitdefender przygotował dokładną analizę niedawnych kradzieży kont na Youtubie.

Ataki na konta YouTube – geneza

W ostatnim czasie pojawiło się wiele podejrzanych wyskakujących okienek z transmisjami na żywo na kanałach użytkowników YouTube, które promują te same podejrzane treści. Chociaż kanały te są różne, wydaje się, że mają ze sobą wiele wspólnego:

A) Nazwy kanałów próbują przedstawiać je jako Tesla, z różnymi odmianami: Tesla urzędnik, Tesla US, Tesla News, Tesla (Inc)

• Wiele nazw to tak naprawdę homoglify, w których literę „l” zastępuje się dużą „i (I)”: TesIa, TesIa Factory, TesIa Motors itp.

B) Domeny kanałów są również odmianami Tesli. Niektóre z nich zawierają znaki szumu, takie jak „_” i „-„

• @tesla — my_
• @tesla-corp.
• @ustesialive
• @tesla_us_live24
• @teslalive2023us-dyrektor generalny
• @tesla — inc.

C) Tytuły są takie same i mają stosunkowo ograniczoną różnorodność:

• Nowa era Tesli Model 3 – zaprezentuj na żywo z Elonem Muskiem!
• Nowa era Tesli Model 3 – zaprezentuj na żywo z Elonem
• Muskiem! Twitter zmienia markę na X!
• Transmisja na żywo prezentacji Tesli Model 3 2024 z udziałem Elona Muska!
• Dyrektor generalny Elon Musk przedstawia: zapowiedź na żywo ulepszonego modelu Tesli 3 2024!
• Rebranding X na Twitterze: ogłoszenie na żywo Elona Muska i odsłonięcie logo!
• Relacja i analiza raportu o zarobkach Tesli w drugim kwartale – prezentacja na żywo z Elonem Muskiem!
• SpaceX wystrzelił misję Hughes JUPITER 3! Elon Musk publikuje najnowsze informacje na temat Starship!
• Zapowiedź na żywo z Elonem Muskiem – nowa era dla Modelu 3 Tesli!
• Elon Musk: Czy w 2050 r. kupiłbyś w pełni elektryczny latający samochód Tesli?
• Start rakiety SpaceX Jupiter 3 Falcon Heavy! Elon Musk publikuje najnowsze informacje na temat Starship!
• Elon Musk prezentuje dziś nowy model Tesli S Plaid 2024!
• Tesla prezentuje dziś zupełnie nowy Model S Plaid 2024! Relacja na żywo z Elonem Muskiem!
• NA ŻYWO: Tesla prezentuje arcydzieło: Teslę, która na zawsze zmieni przemysł samochodowy – dyrektor generalny Tesli
• Transmisja na żywo Tesli w USA
• Opis i tagi filmów są w dużej mierze takie same
• Miniatury transmisji na żywo i kanałów są zwykle takie same
• Banery kanałów są zazwyczaj takie same

Po odkryciu tych podobieństw dość jasne byłoby stwierdzenie, że w dystrybucji takich ogólnych i wprowadzających w błąd treści dzieje się coś podejrzanego.
Po ręcznej kontroli wydaje się, że zawartość transmisji na żywo to zwykle zapętlony film będący własnością Tesli lub zawierający Elona Muska (na przykład doroczne zgromadzenie akcjonariuszy w 2023 r.).

Tesla – najczęstszy wabik na użytkowników YouTuba

Nie są to jednak zwykłe retransmisje/ponowne przesłania przez kanały fanów, ale raczej retransmisje, które same w sobie zawierają oszustwo. Sekcje komentarzy wszystkich wykrytych złośliwych transmisji na żywo są wyłączone lub włączone. Ale tutaj jest haczyk: komentować mogą tylko subskrybenci mający 10 lub 15 lat. Uniemożliwia to użytkownikom świadomym oszustwa komentowanie i ostrzeganie innych.

Obserwacja takich „operacji na dużą skalę” skłoniła zespół Bitdefender do zastanowienia się nad kanałami stojącymi za tymi oszustwami, a po bliższym przyjrzeniu się im specjaliści zauważyli, że większość kanałów YouTube została w rzeczywistości przejęta/skradziona.

Większość tych „złośliwych” kanałów nie zawiera żadnych innych treści niż same oszustwa związane z transmisją na żywo – zakłada się, że wszystkie oryginalne filmy zostały ustawione jako prywatne lub usunięte, ponieważ w żaden sposób nie można ich wykryć. Wygląda na to, że opis kanału również został zmieniony, aby przypominał oficjalny kanał Tesli, a inne istotne treści, takie jak playlisty, prawdopodobnie również zostały usunięte.

Proces ten jest najprawdopodobniej zautomatyzowany, gdyż przeprowadzenie operacji na tak dużą skalę byłoby czasochłonne i mogłoby potencjalnie dać faktycznemu właścicielowi kanału wystarczająco dużo czasu na wykrycie podejrzanych zachowań.

Co więcej, niektóre ze skradzionych kanałów wyświetlają oficjalne playlisty Tesli, aby wyglądać na legalne.

W niektórych przypadkach nazwa kanału lub nick nie uległy zmianie (na szczęście YouTube ma limit dwóch zmian w ciągu dwóch tygodni), również playlisty, posty społeczności, a nawet filmy na kanale są nadal obecne. Niestety, w większości analizowanych przypadków wydaje się, że jeśli YouTube wykryje złośliwą aktywność, faktyczne kanały zostaną całkowicie usunięte. Oznacza to, że prawowity właściciel kanału straci wszystko (filmy, playlisty, wyświetlenia, subskrybentów, monetyzację i wszystko, co wykracza poza sam kanał YouTube, pozostając jednocześnie powiązanym), chyba że zostaną podjęte rozmowy z YouTube.

W przypadkach, w których sekcja komentarzy jest przeznaczona wyłącznie dla subskrybentów, albo wybrani przez kanał moderatorzy mogą zostawiać komentarze, które prowadzą użytkowników do stron zawierających oszustwa związane z kryptowalutami, obiecujących zmieniające życie zyski przy zmniejszonej dostępności, najprawdopodobniej mamy do czynienia ze scamem. Moderatorzy ci używają również awatarów kanałów przedstawiających Elona Muska.

Phishing i Deepfake w rękach cyberprzestępców na YouTubie

Innym wspólnym szczegółem obu transmisji na żywo z włączonymi i wyłączonymi komentarzami jest to, że osoby atakujące osadzają kod QR w fragmentach wideo prowadzących do strony phishingowej. Jeśli sekcja komentarzy jest włączona, moderatorzy zamieszczają ten sam link, który można znaleźć w kodzie QR.

Linki propagowane za pośrednictwem przejętych kanałów YouTube promują podobne i dobrze znane oszustwo. Podstęp polega na wysłaniu dowolnej ilości kryptowaluty (Bitcoin, Ethereum, USDT, Dogecoin, BNB, Shiba Inu itp.) i obiecuje zwrócić oszukanej osobie podwójną kwotę. W rzadkich przypadkach linki phishingowe są zapisywane bezpośrednio w filmie.

Bitdefender wykrył również przypadki, w których dźwięk i wideo zapętlone w transmisji na żywo są deepfake’ami Elona Muska, za pomocą których hakerzy próbują promować kryptowaluty i wszelkie związane z nimi wydarzenia w odnośnikach (oszustwo polegające na podwajaniu kryptowalut). Deepfake’i audio są wysokiej jakości i przeciętnemu widzowi mogą wydawać się autentyczne. Bitdefender podczas analizy doszedł również do wniosku, że niektóre transmisje na żywo mają zwiększoną oglądalność na początku transmisji, dzięki czemu wydają się one bardziej godne zaufania w oczach opinii publicznej. Jednak gdy tylko zwiększanie liczby wyświetleń ustanie, widzimy liczne oszukańcze transmisje na żywo z zaledwie 1 lub 2 widzami.

To samo tyczy się liczby abonentów – choć jest wystarczająco dużo kanałów, które mają małą liczbę abonentów, to mediana wartości z analizy Bitdefender jest bliska 2300. Wskazuje to na potencjalny wzrost liczby abonentów.

Bitdefender wywnioskował również, że wszystkie zbadane przez nich strony zostały utworzone przy użyciu zautomatyzowanego oprogramowania (zestawów do phishingu).

Kolejnym interesującym szczegółem jest to, że strony te próbują uniemożliwić zapisywanie zawartości strony na dysku lub otwieranie narzędzi programistycznych za pomocą skrótów klawiaturowych. Spowoduje to przekierowanie (świadome lub omyłkowe) na stronę zawierającą szczegółowe informacje na temat potencjalnej osoby stojącej za stworzeniem zestawów do phishingu.

Ponadto sugerowany jest kanał Telegramu i wymienione są ogólne szczegóły zestawu (liczba szablonów, łatwość instalacji i konfiguracji itp.).

Po przeszukaniu wspomnianej grupy Telegramu zostaje znaleziona kolejna interesująca grupa, w której ugrupowanie zagrażające promuje zestawy phishingowe.

Zestawy promowane w grupie telegramów są identyczne z tymi, które można znaleźć na przejętych kanałach YouTube. Strony internetowe zazwyczaj przedstawiają Elona Muska jako centralną postać i są zaprojektowane tak, aby były atrakcyjne wizualnie. Co więcej, wydaje się, że te witryny mają wtyczki do czatu na żywo, które umożliwiają użytkownikowi końcowemu komunikację z tak zwanym „zespołem wsparcia”.

Otrzymywanie odpowiedzi nie jest zbyt częste, ale gdy już nastąpi, zazwyczaj próbują one nakłonić Cię do wysłania określonej kwoty kryptowaluty na wskazane adresy, jednocześnie zapewniając o legalności procedury.

Nie jest jasne, czy na czatach na żywo odpowiadają prawdziwi ludzie, czy też procedura jest zautomatyzowana przy użyciu modeli wielojęzycznych.

Stosując zarówno procedury automatyczne, jak i ręczne, Bitdefender znalazł ponad 1300 filmów promujących oszustwa związane z kryptowalutami w podobnych witrynach internetowych, które prawdopodobnie pochodziły z tego samego zestawu do phishingu. Dość często zdarza się, że filmy wideo wskazują tę samą witrynę internetową, ale dotychczas odnaleziono ponad 150 różnych witryn.

Wszystkie promowane strony z oszustwami mają ochronę Cloudflare, co zwiększa trudność ich automatycznej analizy.

Bezpiecznym założeniem byłoby to, że wiele filmów, które również należą do tej samej kategorii co powyższe, zostało pominiętych z następnych powodów:

• Kanały są usuwane przez YouTube, zanim treści zostaną znalezione – nie wydaje się, aby istniała prawidłowość w tym kierunku. Niektóre nagrania transmisji na żywo przetrwały tygodnie, inne zostały usunięte w ciągu kilku minut lub sekund;
• Pierwotni właściciele kanałów odkrywają oszustwo i podejmują niezbędne kroki w celu wyeliminowania złośliwych treści i zablokowania atakujących;
• Ograniczenia związane z wyszukiwaniem ręcznym i automatycznym – różnorodność tych oszustw może być znacznie większa niż to, co znaleźliśmy.
  Wpływ takich fałszywych programów widać w społeczności odzyskanych kanałów. Podczas gdy niektóre kanały przywracają porządek wieloetapowo, zatrzymując transmisje na żywo i przywracając filmom status publiczny, nazwa kanału pozostaje niezmieniona, mimo że pomyślnie przywrócono oryginalną nazwę.

Inne kanały nie mogą zostać przywrócone natychmiastowo, a istnieją wyraźne dowody na to, że zostały zbanowane lub całkowicie usunięte z powodu naruszenia warunków korzystania z YouTube. Szczegóły odzyskania konta po jego oficjalnym usunięciu przez YouTube nie są powszechnie znane, ale wydaje się to możliwe.

Całkowite usunięcie konta z YouTube na kilka dni może skutkować zarówno stratami emocjonalnymi, jak i finansowymi dla właściciela konta (raporty SocialBlade wskazują, że kanały z dużą liczbą wyświetleń, na przykład liczoną w setkach milionów, mogą skończyć się stratą dziesiątek tysięcy dolarów).

Konta, które nie mają dużej liczby subskrybentów i wyświetleń, mogą nigdy nie odzyskać danych.

Zjawisko kradzieży kont na YouTube w liczbach

Uwaga: dane zbierano w okresie od 27.07.2023 do 28.09.2023
Dalsza analiza uzyskanych danych prowadzi do następujących interesujących pomiarów:

• Maksymalna liczba subskrybentów przejętego konta: ~9 990 000 (na jedno konto)
• Maksymalna liczba wyświetleń przejętego konta: ~3.643.275.137 (całkowita liczba wyświetleń/jeden kanał)
• Wartość mediany liczby abonentów: ~ 2260
• Wyświetl liczbę wartości mediany kanału: ~ 211 820
• Całkowita liczba subskrybentów z 10 największych przejętych kanałów: ~ 36 950 000
• Całkowita liczba wyświetleń z 10 najczęściej oglądanych przejętych kanałów: ~ 10.356.700.312
• Liczba różnych kanałów, które zostały przejęte: 1190 i rośnie
• Liczba znalezionych odrębnych transmisji na żywo: 1370 i rośnie
• Wydaje się, że istnieją przykłady przejętych kanałów należących do podmiotów rządowych
• Większość porwanych kanałów wykorzystuje odmianę oficjalnego logo Tesli lub nawet samego oficjalnego logo, przy czym ponad połowa promowanych filmów korzysta z tego samego opisu

Kanały YouTube ze znaczną liczbą subskrybentów są wysoce pożądane przez cyberprzestępców, którzy mogą na nich zarobić, żądając okupu od prawowitego właściciela lub rozpowszechniając oszustwa i złośliwe oprogramowanie wśród kont odbiorców.

Cykl życia oszustw YouTube rozprzestrzenianych za pośrednictwem głośnych reklam może być różny, ale niezależnie od przypadku hakerzy zwykle postępują według tego samego sposobu – przyciągając swoją ofiarę, wykorzystując znane marki lub osobistości do oszukiwania nieostrożnych widzów.