ataki

Oszustwa na YouTube

Fałszywe transmisje na żywo, komentarze botów oraz podszywanie się pod dużych twórców. Takie oszustwa znajdziesz na YouTube.

Opublikowano 25.05.2023 07:00

Fałszywe transmisje

Ten materiał jest też dostępny jako film na YouTube.

Jeżeli wejdziesz teraz na YouTube i w wyszukiwarce wpiszesz Elon Musk a w filtrach wybierzesz na żywo jest spora szansa, że pierwsze kilka wyników to oszustwo. Tak to wyglądało w momencie tworzenia tego materiału:

Te rzekome transmisje na żywo są do siebie bardzo podobne.

  • Na dole zrzut ekranu z YouTube'a, gdzie Elon zacheca Cię do zeskanowania kodu QR.
  • W prawym rogu ekranu kod QR, który po zeskanowaniu przenosi Cię do strony z nagrodami.
  • Czasami ten sam link jest wklejany do okna czatu.

Co dalej? Na stronie do której prowadzi link jest informacja o "rozdaniu". Wpłacasz kwotę X i dostajesz 2X. Smaczku dodaje fakt, że na stronie "na żywo" widzisz fałszywe transakcje osób, które w ten sposób wygrały życie. To wszystko to manipulacja. Nikt nie zwróci Ci przecież dwukrotności wpłaconych środków.

Ale jak to możliwe, że tak znana osoba występuje na kanale, który oszukuje ludzi? Odpowiedź jest prosta - nie występuje. To, że transmisja na YT jest oznaczona jako "na żywo", nie oznacza wcale, że teraz gzieś na świecie właśnie trwa takie wydarzenie.

Istnieją serwisy, które za kilka dolarów pozwalają transmitować "na żywo" dowolny, wcześniej przesłany przez Ciebie plik MP4.

  1. Przestępcy poznajdowali wcześniejsze wystąpienia Elona
  2. Ściągnęli je na swój dysk
  3. Wysłali do serwisów pozwalających na zaplanowanie transmisji

Pozostaje ostatnia kwestia. Dlaczego tak duże kanały oszukują widzów? Bo są skradzione.

Kilka miesięcy temu YouTube wprowadził "nicki". W skrócie, to nazwy kanałów poprzedzone znakiem @. Dla przykładu mój kanał to @kacperszurek. Dzięki czemu można go zobaczyć pod adresem https://youtube.com/c/kacperszurek.

Przestępcy kradną kanały i zmieniają ich nicki na nowe, z wyrazem spacex w środku, na przykład:

  • spacexnews.live_
  • SpaceX_Lives_2023_
  • SpaceX__Live

Kanały oprócz nicków posiadają też dodatkowy identyfikator, tak zwany channel id. Istnieją narzędzia, które na podstawie adresu potrafią go odtworzyć. Po co nam to? W ten sposób możemy spróbować odkryć starą nazwę kanału.

Przykład: nick SpaceX__Live jest przypisany do UCLxUX_b5BHisFDfo8FxC6eQ.

Jeżeli ten identyfikator podamy na stronie Social Blade to dowiemy się, że należy on do kanału Vibe Ousadia. Ktoś po prostu zmienił mu nazwę na inną.

Przekręt wygląda więc następująco:

  1. Przestępcy zdobywają nieautoryzowany dostęp do konta na YT
  2. Usuwają wszystkie filmy lub zmieniają ich status na prywatny
  3. Zmieniają nazwę kanału
  4. Rozpoczynają fałszywą transmisję

I takie ataki dotyczą różnych kanałów, nawet tych dużych:

Szukasz szkolenia Security Awareness dla swojej firmy?
Sprawdź moją ofertę.

Jak to możliwe

Jak to się dzieje, że tak duże kanały zostają przejęte? Wykorzystuje się socjotechnikę. W zakładce informacje na kanale możecie znaleźć email kontaktowy do większości YouTuberów. Teraz wystarczy wysłać maila i czekać, aż ofiara uruchomi złośliwe oprogramowanie, które ukradnie jej ciasteczka.

Popatrz na tą wiadomość: Zmiana w polityce YouTuba'a, którą znalazłem na Twitterze. W treści plik do ściągnięcia.

Pewno pomyślisz: jak ktoś mógł się na to nabrać? No cóż, YouTube co miesiąc wysyła podobnego maila z aktualizacjami na temat platformy. I jeśli jesteście nieco bardziej zaawansowanymi użytkownikami, pewno myślicie, że wystarczy sprawdzić nadawcę wiadomości i od razu będzie widać, że to fałszywy mail. Nie w tym wypadku. Mail został wysłany z prawidłowej domeny

Użyto tutaj bardzo ciekawej sztuczki. W ustawieniach filmu można wybrać kto może go oglądać. Jedna z opcji to prywatny. I tutaj można zaprosić innych użytkowników do oglądania filmu podając ich adresy email.

Przestępca ma adres email więc go tu podaje. A potem przychodzi mail podobny do tego z obrazka. Jeśli odpowiednio nazwie się kanał, tytuł i opis – całość może być naprawdę bardzo przekonująca. I co istotne – z perspektywy bezpieczeństwa wszystkie nagłówki się zgadzają. Przecież to mail wysłany przez normalny interfejs platformy.

Po co to wszystko?

Dlaczego przestępcy kradną kanały zamiast tworzyć nowe? Duże kanały mają sporo subskrybentów a pewno niektórzy z nich mają włączone powiadomienie z dzwoneczkiem.

Wtedy gdy przestępcy uruchamiają transmisję – powiadomienie o niej otrzyma automatycznie kilka tysięcy osób. Być może jakiś procent zachęci miniatura i wejdą na taki live. Im więcej osób na transmisji tym algorytm chętniej promuje dane wydarzenie.

A to zwiększa szansę, że osoby wyszukujące informacji na temat Elona trafią na taki skradziony kanał.

#ataki

Poprzedni post Następny post