Publicaciones futuras | imágenes falsas
Desde al menos 2019, los piratas informáticos han estado secuestrando a personas de alto perfil. YouTube canales. A veces transmiten estafas de criptomonedas, a veces simplemente subastan el acceso a la cuenta. Ahora, Google tiene detallado la técnica que los piratas informáticos utilizaban para comprometer a miles de Creadores de YouTube en los últimos dos años.
Las estafas de criptomonedas y las apropiaciones de cuentas en sí mismas no son una rareza; No busque más, el truco de Twitter del otoño pasado para ver un ejemplo de ese caos a gran escala. Pero el ataque sostenido contra las cuentas de YouTube se destaca tanto por su amplitud como por los métodos que usaron los piratas informáticos, y una vieja maniobra que, sin embargo, es increíblemente difícil de defender.
Todo comienza con un phish. Los atacantes envían a los creadores de YouTube un correo electrónico que parece provenir de un servicio real, como una VPN, una aplicación de edición de fotos o una oferta antivirus, y se ofrecen a colaborar. Proponen un arreglo promocional estándar: muestre nuestro producto a sus espectadores y le pagaremos una tarifa. Es el tipo de transacción que ocurre todos los días para las luminarias de YouTube, una industria bulliciosa de pagos de influencers.
Sin embargo, hacer clic en el enlace para descargar el producto lleva al creador a un sitio de aterrizaje de malware en lugar del verdadero. En algunos casos, los piratas informáticos se hicieron pasar por cantidades conocidas como Cisco VPN y juegos de Steam, o fingieron ser medios de comunicación centrados en COVID-19. Google dice que ha encontrado más de 1,000 dominios hasta la fecha que fueron diseñados específicamente para infectar a YouTubers involuntarios. Y eso solo insinúa la escala. La compañía también encontró 15.000 cuentas de correo electrónico asociadas con los atacantes detrás del esquema. Los ataques no parecen haber sido obra de una sola entidad; más bien, dice Google, varios piratas informáticos anunciaron servicios de adquisición de cuentas en foros en ruso.
Una vez que un YouTuber descarga inadvertidamente el software malicioso, toma cookies específicas de su navegador. Estas “cookies de sesión” confirman que el usuario ha iniciado sesión correctamente en su cuenta. Un pirata informático puede cargar esas cookies robadas en un servidor malicioso, permitiéndoles hacerse pasar por la víctima ya autenticada. Las cookies de sesión son especialmente valiosas para los atacantes porque eliminan la necesidad de pasar por cualquier parte del proceso de inicio de sesión. ¿Quién necesita credenciales para colarse en el centro de detención de la Estrella de la Muerte cuando puedes pedir prestada la armadura de un soldado de asalto?
“Los mecanismos de seguridad adicionales como la autenticación de dos factores pueden presentar obstáculos considerables para los atacantes”, dice Jason Polakis, científico informático de la Universidad de Illinois, Chicago, que estudia técnicas de robo de cookies. “Eso hace que las cookies del navegador sean un recurso extremadamente valioso para ellos, ya que pueden evitar las comprobaciones de seguridad y las defensas adicionales que se activan durante el proceso de inicio de sesión”.
Estas técnicas de “pasar la cookie” existen desde hace más de una década, pero siguen siendo eficaces. En estas campañas, Google dice que observó a los piratas informáticos que usaban alrededor de una docena de herramientas de malware de código abierto y listas para usar para robar las cookies del navegador de los dispositivos de las víctimas. Muchas de estas herramientas de piratería también podrían robar contraseñas.
“Los ataques de secuestro de cuentas siguen siendo una amenaza desenfrenada, porque los atacantes pueden aprovechar las cuentas comprometidas de muchas formas”, dice Polakis. “Los atacantes pueden usar cuentas de correo electrónico comprometidas para propagar estafas y campañas de phishing o incluso pueden usar cookies de sesión robadas para drenar los fondos de las cuentas financieras de la víctima”.
Google no confirmó qué incidentes específicos estaban relacionados con la ola de robo de cookies. Pero se produjo un aumento notable de adquisiciones en Agosto de 2020, cuando los piratas informáticos secuestraron varias cuentas con cientos de miles de seguidores y cambiaron los nombres de los canales a variaciones de “Elon Musk” o “Space X”, luego transmitieron en vivo sorteo de bitcoin estafas. No está claro cuántos ingresos generó cualquiera de ellos, pero presumiblemente estos ataques han tenido al menos un éxito moderado dado lo generalizados que se volvieron.
Este tipo de adquisición de cuentas de YouTube aumentó en 2019 y 2020, y Google dice que convocó a varios de sus equipos de seguridad para abordar el problema. Desde mayo de 2021, la compañía dice que ha detectado el 99,6 por ciento de estos correos electrónicos de phishing en Gmail, con 1,6 millones de mensajes y 2,400 archivos maliciosos bloqueados, 62,000 advertencias de páginas de phishing mostradas y 4,000 restauraciones de cuentas exitosas. Ahora, los investigadores de Google han observado que los atacantes se orientan hacia creadores que utilizan proveedores de correo electrónico distintos de Gmail, como aol.com, email.cz, seznam.cz y post.cz, como una forma de evitar la detección de phishing de Google. Los atacantes también han comenzado a intentar redirigir a sus objetivos a WhatsApp, Telegram, Discord u otras aplicaciones de mensajería para mantenerse fuera de la vista.
“Una gran cantidad de canales secuestrados fueron renombrados para transmisión en vivo de estafas de criptomonedas”, explica Google TAG en un entrada en el blog. “El nombre del canal, la imagen de perfil y el contenido fueron reemplazados por la marca de criptomonedas para hacerse pasar por grandes empresas de intercambio de tecnología o criptomonedas. El atacante transmitió en vivo videos que prometían obsequios de criptomonedas a cambio de una contribución inicial “.
Aunque la autenticación de dos factores no puede detener estos robos de cookies basados en malware, es una protección importante para otros tipos de estafas y phishing. A partir del 1 de noviembre, Google requerirá que los creadores de YouTube que moneticen sus canales activen el doble factor para la cuenta de Google asociada con su YouTube Studio o el Administrador de contenido de YouTube Studio. También es importante prestar atención a las advertencias de “Navegación segura” de Google sobre páginas potencialmente maliciosas. Y, como siempre, tenga cuidado con lo que hace clic y los archivos adjuntos que descarga de su correo electrónico.
El consejo para los espectadores de YouTube es aún más simple: si su canal favorito está promocionando un acuerdo de criptomonedas que parece demasiado bueno para ser verdad, échele un ojo de soslayo a Dramatic Chipmunk y continúe.
Esta historia apareció originalmente en wired.com.