Noticias Tecnológicas

Cómo los piratas informáticos secuestraron miles de cuentas de YouTube de alto perfil

Lanzamiento futuro | imágenes falsas

Los piratas informáticos han estado secuestrando canales de YouTube de alto perfil desde al menos 2019. A veces difunden el fraude de criptomonedas, a veces simplemente subastan el acceso a la cuenta. Ahora, Google ha detallado la técnica que los piratas informáticos utilizaron para comprometer a miles de creadores de YouTube en los últimos años.

El fraude de criptomonedas y la apropiación de cuentas en sí mismos no son infrecuentes; No busque más, el truco de Twitter del otoño pasado para ver un ejemplo de este gran lío. Pero el ataque en curso a las cuentas de YouTube se caracteriza tanto por su amplitud como por los métodos utilizados por los piratas informáticos y una antigua maniobra de la que todavía es increíblemente difícil defenderse.

Todo comienza con un phish. Los atacantes envían a los creadores de YouTube un correo electrónico que parece provenir de un servicio real, como una VPN, una aplicación de edición de fotos o una oferta antivirus, y se ofrecen a colaborar. Propone un arreglo publicitario estándar: muestre a sus espectadores nuestro producto y le pagaremos una tarifa. Es el tipo de transacción que ocurre todos los días para las luminarias de YouTubes, una industria ocupada de pagos de influencers.

Sin embargo, hacer clic en el enlace para descargar el producto lleva al creador a un sitio de aterrizaje de malware en lugar de a un negocio real. En algunos casos, los piratas informáticos imitaron grandes nombres como Cisco VPN y Steam Games o fingieron ser empresas de medios centradas en COVID-19. Google dice que hasta ahora ha encontrado más de 1,000 dominios diseñados específicamente para infectar a YouTubers ignorantes. Y eso solo sugiere la vara de medir. La compañía también encontró 15.000 cuentas de correo electrónico asociadas con los atacantes detrás del sistema. Los ataques no parecen haber sido obra de una sola unidad; Más bien, varios piratas informáticos anunciaron servicios de transferencia de cuentas en foros en ruso, dice Google.

Tan pronto como un YouTuber descarga accidentalmente el malware, llama a ciertas cookies desde su navegador. Estas «cookies de sesión» confirman que el usuario ha iniciado sesión correctamente en su cuenta. Un pirata informático puede cargar estas cookies robadas en un servidor malicioso, haciéndose pasar por una víctima ya autenticada. Las cookies de sesión son particularmente valiosas para los atacantes porque no tienen que pasar por ninguna parte del proceso de inicio de sesión. ¿Quién necesita una identificación para colarse en el centro de detención de la Estrella de la Muerte cuando todo lo que puedes hacer es pedir prestada una armadura a un soldado de asalto?

«Los mecanismos de seguridad adicionales, como la autenticación de dos factores, pueden poner obstáculos importantes en el camino de los atacantes», dice Jason Polakis, científico informático de la Universidad de Illinois en Chicago que estudia técnicas de robo de cookies. «Esto hace que las cookies del navegador sean un recurso extremadamente valioso para usted, ya que puede evitar los controles de seguridad y las defensas adicionales que se activan durante el proceso de inicio de sesión».

Estas técnicas de «pasar la cookie» existen desde hace más de una década, pero siguen siendo eficaces. En esas campañas, Google afirma haber observado a piratas informáticos que utilizaron alrededor de una docena de herramientas de malware estándar y de código abierto diferentes para robar las cookies del navegador de los dispositivos de las víctimas. Muchas de estas herramientas de piratería también podrían robar contraseñas.

«Los ataques de secuestro de cuentas siguen siendo una amenaza generalizada, ya que los atacantes pueden usar cuentas comprometidas de diversas formas», dice Polakis. «Los atacantes pueden utilizar cuentas de correo electrónico comprometidas para difundir campañas de fraude y phishing, o incluso utilizar cookies de sesión robadas para desviar fondos de las cuentas financieras de la víctima».

Google no quiso confirmar qué incidentes específicos estaban relacionados con el robo de cookies. Sin embargo, hubo un aumento notable en las adquisiciones en agosto de 2020 cuando los piratas informáticos secuestraron varias cuentas con cientos de miles de seguidores y cambiaron los nombres de los canales a variaciones de «Elon Musk» o «Space X» y luego estafas de obsequios de bitcoins transmitidas en vivo. No está claro cuántos ingresos generaron, pero presumiblemente estos ataques tuvieron al menos un éxito moderado, dada la generalización que tuvieron.

Este tipo de adquisición de cuentas de YouTube se intensificó en 2019 y 2020, y Google dice que ha convocado a varios de sus equipos de seguridad para abordar el problema. En mayo de 2021, la compañía interceptó el 99,6 por ciento de esos correos electrónicos de phishing en Gmail, bloqueó 1,6 millones de mensajes y 2,400 archivos maliciosos, mostró 62,000 alertas de páginas de phishing y 4,000 recuperaciones exitosas de cuentas. Ahora, los investigadores de Google han observado a los atacantes que utilizan YouTubers que utilizan proveedores de correo electrónico distintos de Gmail, como aol.com, email.cz, seznam.cz y post.cz, para evitar la detección de phishing de Google. Los atacantes también han intentado redirigir sus objetivos a WhatsApp, Telegram, Discord u otras aplicaciones de mensajería para mantenerlos fuera de la vista.

«Se ha cambiado el nombre de una gran cantidad de canales secuestrados para la transmisión en vivo de estafas de criptomonedas», explica Google TAG en una publicación de blog. “El nombre del canal, la imagen de perfil y el contenido han sido reemplazados por la marca de criptomonedas para hacerse pasar por grandes empresas de intercambio de tecnología o criptomonedas. El atacante transmitió videos en vivo que prometían obsequios de criptomonedas a cambio de una publicación inicial «.

Si bien la autenticación de dos factores no puede detener estos robos de cookies basados ​​en malware, es una defensa importante contra otros tipos de fraude y phishing. A partir del 1 de noviembre, Google exigirá a los creadores de YouTube que moneticen sus canales que habiliten la funcionalidad de dos factores para la cuenta de Google asociada con su YouTube Studio o el Administrador de contenido de YouTube Studio. También es importante prestar atención a las advertencias de Navegación segura de Google sobre sitios potencialmente dañinos. Y, como siempre, tenga cuidado con lo que hace clic y los archivos adjuntos que descarga de su correo electrónico.

El consejo para los espectadores de YouTube es aún más simple: si su canal favorito está impulsando un acuerdo de criptomonedas que parece demasiado bueno para ser verdad, déle una mirada de reojo dramática y siga adelante.

Esta historia apareció originalmente en wired.com.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba