圖片來源: 

kon karampelas on unsplash

YouTuber已成釣魚信件首要的攻擊目標之一。Google指出,不法集團鎖定YouTuber發送以商業合作為名目的釣魚信件,並發動「pass-the-cookie」手法攻擊,旨在劫持YouTube頻道,單單今年5月來,該公司已經封鎖了160萬此類釣魚信件。

Google威脅分析小組(Google Threat Analysis)自2019年底起,偵測到針對YouTuber發動、以金錢為目的的釣魚信件攻擊。近日一群在俄語論壇上召募而成的駭客,向YouTuber發送信件謊稱有商業合作機會,例如示範防毒軟體、VPN、音樂播放軟體、相片編輯或線上遊戲,以提高受害者上當機率。

駭客主要是引誘YouTuber連到惡意網站以下載惡意軟體。不肖人士先蒐集YouTuber在頻道上顯示的電子郵件,再以假帳號發送造假的公司及產品介紹釣魚信件以尋求合作。等YouTuber同意合作後,再傳送含有惡意連結的電子郵件、Google Drive PDF檔案或Google文件,將YouTuber導向惡意網站以下載所謂的「試用軟體」。

受害YouTuber下載的軟體,其實是用以發動「Cookie竊取」或稱「pass the cookie」攻擊的惡意軟體。一旦下載到電腦,就會在受害者電腦上蒐集儲存在瀏覽器內cookies,目的在存取並劫持YouTuber的YouTube帳號及頻道。

許多被劫持的YouTube頻道,網站元素包括名稱、圖片、內容都會被變更成加密貨幣詐騙串流頻道。攻擊者播放串流影片,以贈送加密貨幣為餌向廣大用戶吸金。研究人員指出,在帳號交易市場,劫持YouTube頻道視訂閱戶數量而定,兜售價格從3美元一直到4,000美元不等。

Google研究人員Ashley Shen指出,pass the cookie攻擊已經存在數十年,但最近又再度活躍。可能是因為多因素驗證(MfA)的安全措施使用日愈普及,迫使攻擊者轉用社交工程,以釣魚信件來提高攻擊成功率。

Google偵測到這波攻擊中約有1.5萬個假帳號,被用來發送釣魚信件或文件,此外,他們也辨識出至少有1000多個網域為此設立,以假冒公司網站及下載惡意軟體。遭到冒充的公司包括Luminar、Cisco、Steam等。

而用於Cookie竊取的工具許多可在GitHub上免費下載,也有一些可購得的工具,包括RedLine、Vidar、Predator The Thief、Nexus stealer、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad、Kantal。

Google旗下YouTube、Gmail、網路犯罪調查部門、安全上網技術部門聯手合作,今年5月以來,已封鎖了160萬封此類訊息及2,400多個惡意檔案、顯示近6.2萬次釣魚網頁警告,並回復將近4,000個被劫持的YouTube帳號。

研究人員提醒用戶應留意是否有惡意網站的警告訊息、執行軟體前都應先掃毒、小心下載的檔案是否為加密壓縮檔(因為防毒軟體無法掃瞄)、並啟用雙因素驗證,以免連到了釣魚網站。


熱門新聞

Advertisement