روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ چند ماه پیش بلاگر معروف حوزه فناوری لینوس تک[1] هک شد. هر سه کانال یوتیوب او ( که بزرگ‌ترینشان بیش از 15 میلیون عضو داشت) به دست مجرمان سایبری افتاد؛ کسانی که استریم‌ها را به همراه تبلیغات کریپتو اسکم پخش کردند. با ما همراه شوید تا توضیح دهیم این هک چطور اتفاق افتاد.

سوال این است هکرها چطور به کانال‌ها دسترسی پیدا کردند؟ آیا این بلاگر معروف که خودش هم اهل فناوری است برای اکانت‌هایش پسوردهای قوی نگذاشته بود؟ یا از احراز هویت دوعاملی استفاده نمی‌کرده؟ البته که همه این کارها را کرده است (دست‌کم خودش که اینطور می‌گوید). لینوس تک گیر حمله‌ی کوکی‌های سرقتی افتاد؛ متودی شایع برای هدف قرار دادن یوتیوبرها. در این مقاله قرار است نگاه دقیق‌تری به اهداف و انگیزه‌های چنین حمله‌هایی بیاندازیم؛ همینطور بررسی کنیم چطور هکرها بدون اینکه پسورد بدانند و یا از عامل دوم خبر داشته باشند به کانال‌ها دسترسی پیدا می‌کنند. همچنین توضیح خواهیم داد گوگل در این راستا چه اقداماتی کرده و چطور می‌شود قربانی چنین حمله‌ای نشد.

چرا باید کانال‌های یوتیوب هک شوند؟

کانال‌های یوتیوبرهای شناخته‌شده (و نشده) معمولاً برای باجگیری یا دسترسی به مخاطبین آن‌ها مورد حمله قرار می‌گیرند (سناریوی لینوس تک دومی بود). در این سناریو بعد از هک کانال، مهاجمین نام، عکس پروفایل و محتوا را تغییر می‌دهند. در نتیجه به جای بلاگ –فرضاً نوآوری فناوری- به نظر می‌رسد کانال دارد از اکانت شرکت بزرگی (بیشتر وقت‌ها تسلا) تقلید می‌کند (عکس پروفایل هم به عکس همان شرکت تغییر پیدا می‌کند). بعد از آن هکرها از کانال هک‌شده برای استریم ضبط‌های ایلان ماسک که افکارش در مورد رمزارز را مطرح کرده استفاده می‌کنند. اغلب بقیه محتواهای دیگر بلاگ حذف می‌شود.

همزمان لینکی به سایت تبلیغاتی رمزارز منحصر به فرد نیز در چت انداخته می‌شود. برای مثال خود ایلان در ظاهر رمزارز هدیه می‌دهد: برای دریافت سهم خود، از کاربران خواسته می‌شود سکه‌های خود را به کیف‌پول مشخصی منتقل کنند که بعد از آن دو برابر گیرشان بیاید.

جزئیاتی کنجکاوانه: اسکمرها اغلب از روی آینده‌نگری در چت محدودیت‌هایی را اعمال می‌کنند: فقط کاربرانی که بیش از 15 تا حتی 20 سال است عضو کانال هستند می‌توانند پیام پست کنند (و فرقی هم ندارد این کانال اصلاً آن موقع وجود نداشته است. خود یوتیوب سال 2005 آمد). مطمئناً این نمونه یک اسکم معمول است که قبل‌تر هم یکی دو باری تحلیلش کردیم.

استریم به همراه کانال بلاگر نگون‌بخت توسط یوتیوب سریعاً بلاک می‌شود؛ دلیل هم نقض دستورالعمل‌های جامعه‌ی یوتیوب است. و سپس زحمت ریستور کردن کانالش و اثبات اینکه پلت‌فرم دست مجرمان سایبری افتاده بوده است به گردن دارنده واقعی می‌افتد. در مورد پرونده لینوس تک که کانالش 15 میلیون عضو داشت این کار آسان است. کانال او ظرف چند ساعت بازیابی شد هرچند درآمد آن روز خود را از دست داد. اینکه یوتیوبری با مخاطب کمتر چقدر زمان می‌برد کانال خود را ریستور کند و اینکه اصلاً این امکان برایش وجود خواهد داشت یا نه سوال‌هایی هستند که دوست ندارید از تجربه شخصی‌تان برای پاسخ دادنشان استفاده کنید.

سرقت کانالی با پسورد

برای هک کردن کانال یوتیوب، نیز نیست مهاجمین هیچ اطلاعات محرمانه‌ای را سرقت کنند. دستیابی به توکن‌های سشن برایشان کافی خواهد بود. یک حمله معمول به کانال یوتیوب با ایمیلی به بلاگر که ظاهراً از جانب شرکت واقعی است که پیشنهاد همکاری داده شروع می‌شود. این می‌تواند سرویس وی‌پی‌ان باشد، توسعه‌دهنده گیم باشد و یا هر فروشنده آنتی‌ویروسی. اولین ایمیل هیچ چیز مشکوکی ندارد پس عضو تیم بلاگر با پیام استانداردی پاسخ داده و هزینه‌های قرار دادن محصولات خود را شرح می‌دهد. ایمیل بعدی شرورانه‌تر خواهد بود. در آن، اسکمرها آرشیوی می‌فرستند که به ظاهر حاوی قرارداد، لینک به سرویس کلود برای دانلود و نیز پسوردی برای این آرشیو است. برای بی‌گناه جلوه دادن ایمیل، مهاجمین اغلب لینکی به وبسایت یا اکانت شبکه اجتماعی مربوط به محصولی که می‌خواهند بلاگر تبلیغ کند اضافه می‌کنند. لینک می‌تواند یا سایت شرکت واقعی باشد و یا یک پیج فیک.

اگر بلاگر یا کارمندان آن دقت نکنند و آرشیو را آن‌زیپ کنند داکیومنت‌هایی خواهند یافت که شبیه به فایل‌های معمولی ورد یا پی‌دی‌اف هستند. تنها چیز عجیب این است که فایل‌ها همه‌شان در ابعاد بزرگ هستند (بیشتر از 700 مگ) که همین اسکن‌شان را سخت می‌کند؛ خصوصاً اگر سرویس VirusTotal باشد. بسیاری از راهکارهای امنیتی به همین دلیل این مرحله را رد می‌کنند. باز کردن فایل‌ها با ابزارهای ویژه برای تحلیل فایل‌های قابل‌اجرا نشان‌دهنده حضور فضاهای خالی بسیار است که برای همین هم فایل‌ها انقدر بزرگ شده‌اند. البته که داخل این فایل به ظاهر مظلوم کلی بدافزار شرور پنهان است. گوگل که از موضوع مطلع شده چنین حملاتی را تحلیل کرده و انواع مختلفی از بدافزار بکاررفته را تحلیل می‌کند. از میان آن‌ها به دزد تروجان RedLine می‌رسد که اخیراً خیلی‌ از یوتیوبرها آن را دلیل بدبختی‌هایشان می‌دانند.

مهاجمین از این بدافزارها برای دستیابی به هدف اصلی‌شان که سرقت توکن‌های سشن از مرورگر قربانی است استفاده می‌کنند. با کمک توکن‌های سشن یا کوکی‌ها، مرورگر کاربر را یادش می‌ماند و همین به آن‌ها اجازه می‌دهد نخواهند هر بار خود را درگیر احراز هویت دوعاملی یا پسورد کنند. یعنی توکن سرقتی به مجرمان سایبری اجازه می‌دهد تا خود را جای قربانیان قانونی زده و بدون وارد کردن اطلاعات به اکانت آن‌ها لاگین کنند.

گوگل چه؟

گوگل از سال 2019 از این ماجرا خبر دارد. در سال 2021 این شرکت مقاله تحقیقاتی بزرگی را تحت عنوان «کمپین فیشینگی که با بدافزار سارق کوکی سازندگان یوتیوب را هدف قرار می‌دهد». گروه تحلیل تهدید گوگل تکنیک‌های مهندسی اجتماعی و بدافزار بکاررفته در چنین حملاتی را بررسی کرد. در پی این تحقیق، شرکت مذکور اعلام کرد برای محافظت از کاربران نیز انجام داده است. 

•         دستورالعمل‌های اکتشافی بیشتری برای شناسایی و جلوگیری از ایمیل‌های مهندسی اجتماعی و فیشینگ، سرقت کوکی و لایو استریم‌های جعلی رمزارز پیاده‌سازی شد.
•         وبگردی امن اکنون شامل قابلیت‌های ارتقایافته‌ی شناسایی و بلاک وب‌پیج‌های مخرب و دانلودهای آلوده می‌شود.
•         یوتیوب فرآیندهای دخیل در انتقال کانال‌ها را تقویت نموده و با موفقیت بیش از 99 درصد از کانال‌های دستکاری‌شده را شناسایی و به صورت خودکار بازیابی کرده است.
•         Account Security برای جلوگیری از فعالیت‌های بالقوه ریسکی و هشدار به کاربران روندهای احراز را تقویت نموده است.

سوال این است: آیا همه این اقدامات کار خواهد کرد؟ با قضاوت از روی نظرات خود یوتیوبرها و این حقیقت که چنین هک‌هایی در آینده نیز مرتباً رخ خواهند داد می‌شود گفت «نه». لینوس تک خود حسابی به گوگل شکایت دارد: همینکه برای تغییر اسم کانال و عکس پروفایل پاک کردن همه ویدیوهای کانال او یوتیوب هیچ پسوردی نیاز نداشت وارد کند و حتی کد عامل دومی نیز در کار نبود!

خودتان از کانال خود محافظت کنید

برای اینکه کانال‌تان را از دست ندهید، بهتر است جانب احتیاط را رعایت کنید. اول از همه روی همه دستگاه‌های کاری خود راهکار امنیتی مطمئنی را نصب کنید و همیشه کارمندان خود را در خصوص امنیت سایبری آگاه سازید. هر کسی که به اکانت‌های سازمانی دسترسی دارد باید:

•         انواع معمول فیشینگ را بشناسد
•         بتواند مهندسی اجتماعی را شناسایی کند
•         هرگز لینک‌های مشکوک را دنبال نکند
•         هرگز از منابع غیرقابل‌اعتماد، پیوست‌های آرشیوی را دانلود یا باز نکند

[1] Linus Tech

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.