Ataque de hackers deixa em alerta 23 milhões de youtubers

Reprodução/Forbes
Suspeita de ataque de hackers “maciço” direciona-se a contas de criadores de conteúdo do YouTube

Resumo: 

 

  • Influenciadores de vários gêneros foram o alvo principal de um ataque de hackers no último fim de semana;
  • Aparentemente, trata-se de campanha coordenada de phishing;
  • Os ataques visam atrair usuários para uma página de login do Google falsa, e por meio da coleta de suas credenciais o invasor tem acesso aos perfis do YouTube.

Grandes youtubers foram alvo de criminosos cibernéticos no fim de semana, no que parece ter sido um ataque altamente coordenado e “maciço”. O aviso de segurança foi feito por Catalin Cimpanu, um repórter do “ZDNet”, que conversou com um membro de um fórum da online que apresenta um histórico de acesso comercial a contas invadidas. Aqui está o que sabemos até agora e o que você precisa fazer para proteger sua própria conta do YouTube.

VEJA MAIS: Rússia pode proibir Facebook, Instagram e YouTube no país

Quais contas do YouTube foram invadidas?

De acordo com a investigação do “ZDNet”, muitas contas de youtubers conhecidos no ramo automobilístico parecem ter sido invadidas. No entanto, também parece que o ataque foi direcionado principalmente a “influenciadores” que possuem canais de vários gêneros na plataforma. Entre os que acessaram o Twitter para reclamar que suas contas do YouTube foram invadidas e o acesso a seus canais foi perdido, estavam as personalidades que cobrem tecnologia, música, jogos e temas da Disney. Uma vez que existem mais de 23 milhões de canais no YouTube, quem cria conteúdo deve estar atento a esse aviso.

Como as contas do YouTube foram invadidas?

A investigação de Cimpanu aponta claramente para uma campanha coordenada de phishing. Depois de falar com um membro de um fórum online no qual se sabe que hackers conversam, Cimpanu conseguiu determinar que essa era provavelmente uma campanha altamente direcionada, ou “spear phishing”, e não uma operação arriscada e sem planejamento. Um membro do fórum disse ao “ZDNet” que alguém havia conseguido um “banco de dados muito bom” e estava “ganhando dinheiro”, como resultado.

Os e-mails são enviados para uma lista de influenciadores do YouTube, de modo a atraí-los para uma página de login do Google falsa. A intenção é coletar suas credenciais, dando ao invasor acesso aos perfis do YouTube. Estes, por sua vez, são transferidos para um novo proprietário e a URL personalizada é alterada. O real dono desse canal e aqueles que o assinam passam a acreditar que a conta foi excluída.

Pelo menos algumas das contas que foram invadidas com sucesso estavam empregando autenticação de dois fatores (2FA) para proteção adicional, de acordo com a “ZDNet”. Isso sugere que os invasores estavam usando um kit de ferramentas de proxy reverso, como o popular pacote de phishing Modlishka, a fim de interceptar códigos 2FA enviados por SMS.

Como você pode proteger sua conta do YouTube?

Entrei em contato com James Houghton, CEO da plataforma de treinamento de conscientização de segurança Phishing Tackle, que diz que este é um “ataque extremamente impressionante e coordenado, potencialmente usando interceptação de cunho man-in-the-middle ou proxy reverso”, para captura em tempo real de códigos de autenticação de dois fatores. Tudo isso parece muito sofisticado e de alta tecnologia, mas “a vulnerabilidade aqui ainda é humana”, diz Houghton, “esse ataque depende de um clique individual e de um clique antes de verificar o básico”. Houghton diz que o problema se resume principalmente a “falta de conhecimento sobre a que se atentar em um email de phishing e, inversamente, em um email legítimo”.

Esses e-mails de phishing geralmente são bem construídos e “podem parecer genuínos à primeira vista, mesmo para os olhos treinados”, diz Jake Moore, especialista em segurança cibernética da ESET. “Sinais externos, como o link mostrado no corpo do email ou mesmo o questionamento do motivo pelo qual você o recebeu, devem ser suficientes para interromper suas ações”, diz Moore.

VEJA TAMBÉM: Google pagará até US$ 200 mi à FTC em investigação do YouTube

Depois, há a página de login clonada do Google na qual o link chegaria. O URL desta página espelhada não foi “olhado com atenção suficiente”, diz Houghton.

Apesar das 2FA aparentemente terem sido contornadas por pelo menos alguns desses ataques às contas do YouTube; Jake Moore diz que ainda é essencial que “todas as suas contas utilizem a 2FA”. No entanto, isso “deve ser idealmente um aplicativo autenticador, ao invés de um código enviado por SMS”, diz Moore.

O pesquisador de segurança Sean Wright diz que as pessoas também devem considerar o uso dos tokens com base U2F (Universal 2nd Factor), já que estes, “até o momento seguraram tentativas de phishing”. O U2F é um padrão de autenticação aberto suportado pelas chaves de segurança de hardware Yubico e Google Titan. Os influenciadores e outros criadores com muitos seguidores também devem “analisar o Programa de proteção avançada do Google”, diz Wright. Dessa forma, é adicionada outra camada de proteção à combinação, exigindo duas chaves de segurança. Todavia, isso também significa que alguns aplicativos de terceiros não serão mais permitidos, mas esse é um preço pequeno a pagar pela segurança reforçada da conta do Google.

O que o YouTube diz?

Um porta-voz do YouTube me enviou a seguinte declaração após a publicação deste artigo:

“Não vimos evidências de um aumento nas tentativas de invasões no fim de semana. Levamos a segurança da conta muito a sério e notificamos os usuários regularmente quando detectamos atividades suspeitas. Incentivamos os usuários a habilitar a autenticação de dois fatores como parte do controle de segurança da conta do Google, o que diminui o risco de invasão. Se um usuário tiver motivos para acreditar que sua conta foi comprometida, poderá notificar nossa equipe para protegê-la e recuperar o controle.

O fato de o YouTube não ter visto evidências de um aumento nas tentativas de hackers está em desacordo com os relatórios de controle de contas que a investigação do “ZDNet” confirmou na semana passada, atingindo o pico no fim de semana. No entanto, permanece o fato de que este é um bom momento para prestar atenção aos avisos sobre o sequestro de contas e a campanha de hackers coordenada relatada.

Siga FORBES Brasil nas redes sociais:

Facebook
Twitter
Instagram
YouTube
LinkedIn

Tenha também a Forbes no Google Notícias.

Copyright Forbes Brasil. Todos os direitos reservados. É proibida a reprodução, total ou parcial, do conteúdo desta página em qualquer meio de comunicação, impresso ou digital, sem prévia autorização, por escrito, da Forbes Brasil ([email protected]).