Google警告YouTuber小心以商業合作為誘餌的網釣攻擊

YouTuber已成釣魚信件首要的攻擊目標之一。Google指出，不法集團鎖定YouTuber發送以商業合作為名目的釣魚信件，並發動「pass-the-cookie」手法攻擊，旨在劫持YouTube頻道，單單今年5月來，該公司已經封鎖了160萬此類釣魚信件。

Google威脅分析小組（Google Threat Analysis）自2019年底起，偵測到針對YouTuber發動、以金錢為目的的釣魚信件攻擊。近日一群在俄語論壇上召募而成的駭客，向YouTuber發送信件謊稱有商業合作機會，例如示範防毒軟體、VPN、音樂播放軟體、相片編輯或線上遊戲，以提高受害者上當機率。

駭客主要是引誘YouTuber連到惡意網站以下載惡意軟體。不肖人士先蒐集YouTuber在頻道上顯示的電子郵件，再以假帳號發送造假的公司及產品介紹釣魚信件以尋求合作。等YouTuber同意合作後，再傳送含有惡意連結的電子郵件、Google Drive PDF檔案或Google文件，將YouTuber導向惡意網站以下載所謂的「試用軟體」。

受害YouTuber下載的軟體，其實是用以發動「Cookie竊取」或稱「pass the cookie」攻擊的惡意軟體。一旦下載到電腦，就會在受害者電腦上蒐集儲存在瀏覽器內cookies，目的在存取並劫持YouTuber的YouTube帳號及頻道。

許多被劫持的YouTube頻道，網站元素包括名稱、圖片、內容都會被變更成加密貨幣詐騙串流頻道。攻擊者播放串流影片，以贈送加密貨幣為餌向廣大用戶吸金。研究人員指出，在帳號交易市場，劫持YouTube頻道視訂閱戶數量而定，兜售價格從3美元一直到4,000美元不等。

Google研究人員Ashley Shen指出，pass the cookie攻擊已經存在數十年，但最近又再度活躍。可能是因為多因素驗證（MfA）的安全措施使用日愈普及，迫使攻擊者轉用社交工程，以釣魚信件來提高攻擊成功率。

Google偵測到這波攻擊中約有1.5萬個假帳號，被用來發送釣魚信件或文件，此外，他們也辨識出至少有1000多個網域為此設立，以假冒公司網站及下載惡意軟體。遭到冒充的公司包括Luminar、Cisco、Steam等。

而用於Cookie竊取的工具許多可在GitHub上免費下載，也有一些可購得的工具，包括RedLine、Vidar、Predator The Thief、Nexus stealer、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad、Kantal。

Google旗下YouTube、Gmail、網路犯罪調查部門、安全上網技術部門聯手合作，今年5月以來，已封鎖了160萬封此類訊息及2,400多個惡意檔案、顯示近6.2萬次釣魚網頁警告，並回復將近4,000個被劫持的YouTube帳號。

研究人員提醒用戶應留意是否有惡意網站的警告訊息、執行軟體前都應先掃毒、小心下載的檔案是否為加密壓縮檔（因為防毒軟體無法掃瞄）、並啟用雙因素驗證，以免連到了釣魚網站。