روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ چند ماه پیش بلاگر معروف حوزه فناوری لینوس تک[1] هک شد. هر سه کانال یوتیوب او ( که بزرگترینشان بیش از 15 میلیون عضو داشت) به دست مجرمان سایبری افتاد؛ کسانی که استریمها را به همراه تبلیغات کریپتو اسکم پخش کردند. با ما همراه شوید تا توضیح دهیم این هک چطور اتفاق افتاد.
سوال این است هکرها چطور به کانالها دسترسی پیدا کردند؟ آیا این بلاگر معروف که خودش هم اهل فناوری است برای اکانتهایش پسوردهای قوی نگذاشته بود؟ یا از احراز هویت دوعاملی استفاده نمیکرده؟ البته که همه این کارها را کرده است (دستکم خودش که اینطور میگوید). لینوس تک گیر حملهی کوکیهای سرقتی افتاد؛ متودی شایع برای هدف قرار دادن یوتیوبرها. در این مقاله قرار است نگاه دقیقتری به اهداف و انگیزههای چنین حملههایی بیاندازیم؛ همینطور بررسی کنیم چطور هکرها بدون اینکه پسورد بدانند و یا از عامل دوم خبر داشته باشند به کانالها دسترسی پیدا میکنند. همچنین توضیح خواهیم داد گوگل در این راستا چه اقداماتی کرده و چطور میشود قربانی چنین حملهای نشد.
چرا باید کانالهای یوتیوب هک شوند؟
کانالهای یوتیوبرهای شناختهشده (و نشده) معمولاً برای باجگیری یا دسترسی به مخاطبین آنها مورد حمله قرار میگیرند (سناریوی لینوس تک دومی بود). در این سناریو بعد از هک کانال، مهاجمین نام، عکس پروفایل و محتوا را تغییر میدهند. در نتیجه به جای بلاگ –فرضاً نوآوری فناوری- به نظر میرسد کانال دارد از اکانت شرکت بزرگی (بیشتر وقتها تسلا) تقلید میکند (عکس پروفایل هم به عکس همان شرکت تغییر پیدا میکند). بعد از آن هکرها از کانال هکشده برای استریم ضبطهای ایلان ماسک که افکارش در مورد رمزارز را مطرح کرده استفاده میکنند. اغلب بقیه محتواهای دیگر بلاگ حذف میشود.
همزمان لینکی به سایت تبلیغاتی رمزارز منحصر به فرد نیز در چت انداخته میشود. برای مثال خود ایلان در ظاهر رمزارز هدیه میدهد: برای دریافت سهم خود، از کاربران خواسته میشود سکههای خود را به کیفپول مشخصی منتقل کنند که بعد از آن دو برابر گیرشان بیاید.
جزئیاتی کنجکاوانه: اسکمرها اغلب از روی آیندهنگری در چت محدودیتهایی را اعمال میکنند: فقط کاربرانی که بیش از 15 تا حتی 20 سال است عضو کانال هستند میتوانند پیام پست کنند (و فرقی هم ندارد این کانال اصلاً آن موقع وجود نداشته است. خود یوتیوب سال 2005 آمد). مطمئناً این نمونه یک اسکم معمول است که قبلتر هم یکی دو باری تحلیلش کردیم.
استریم به همراه کانال بلاگر نگونبخت توسط یوتیوب سریعاً بلاک میشود؛ دلیل هم نقض دستورالعملهای جامعهی یوتیوب است. و سپس زحمت ریستور کردن کانالش و اثبات اینکه پلتفرم دست مجرمان سایبری افتاده بوده است به گردن دارنده واقعی میافتد. در مورد پرونده لینوس تک که کانالش 15 میلیون عضو داشت این کار آسان است. کانال او ظرف چند ساعت بازیابی شد هرچند درآمد آن روز خود را از دست داد. اینکه یوتیوبری با مخاطب کمتر چقدر زمان میبرد کانال خود را ریستور کند و اینکه اصلاً این امکان برایش وجود خواهد داشت یا نه سوالهایی هستند که دوست ندارید از تجربه شخصیتان برای پاسخ دادنشان استفاده کنید.
سرقت کانالی با پسورد
برای هک کردن کانال یوتیوب، نیز نیست مهاجمین هیچ اطلاعات محرمانهای را سرقت کنند. دستیابی به توکنهای سشن برایشان کافی خواهد بود. یک حمله معمول به کانال یوتیوب با ایمیلی به بلاگر که ظاهراً از جانب شرکت واقعی است که پیشنهاد همکاری داده شروع میشود. این میتواند سرویس ویپیان باشد، توسعهدهنده گیم باشد و یا هر فروشنده آنتیویروسی. اولین ایمیل هیچ چیز مشکوکی ندارد پس عضو تیم بلاگر با پیام استانداردی پاسخ داده و هزینههای قرار دادن محصولات خود را شرح میدهد. ایمیل بعدی شرورانهتر خواهد بود. در آن، اسکمرها آرشیوی میفرستند که به ظاهر حاوی قرارداد، لینک به سرویس کلود برای دانلود و نیز پسوردی برای این آرشیو است. برای بیگناه جلوه دادن ایمیل، مهاجمین اغلب لینکی به وبسایت یا اکانت شبکه اجتماعی مربوط به محصولی که میخواهند بلاگر تبلیغ کند اضافه میکنند. لینک میتواند یا سایت شرکت واقعی باشد و یا یک پیج فیک.
اگر بلاگر یا کارمندان آن دقت نکنند و آرشیو را آنزیپ کنند داکیومنتهایی خواهند یافت که شبیه به فایلهای معمولی ورد یا پیدیاف هستند. تنها چیز عجیب این است که فایلها همهشان در ابعاد بزرگ هستند (بیشتر از 700 مگ) که همین اسکنشان را سخت میکند؛ خصوصاً اگر سرویس VirusTotal باشد. بسیاری از راهکارهای امنیتی به همین دلیل این مرحله را رد میکنند. باز کردن فایلها با ابزارهای ویژه برای تحلیل فایلهای قابلاجرا نشاندهنده حضور فضاهای خالی بسیار است که برای همین هم فایلها انقدر بزرگ شدهاند. البته که داخل این فایل به ظاهر مظلوم کلی بدافزار شرور پنهان است. گوگل که از موضوع مطلع شده چنین حملاتی را تحلیل کرده و انواع مختلفی از بدافزار بکاررفته را تحلیل میکند. از میان آنها به دزد تروجان RedLine میرسد که اخیراً خیلی از یوتیوبرها آن را دلیل بدبختیهایشان میدانند.
مهاجمین از این بدافزارها برای دستیابی به هدف اصلیشان که سرقت توکنهای سشن از مرورگر قربانی است استفاده میکنند. با کمک توکنهای سشن یا کوکیها، مرورگر کاربر را یادش میماند و همین به آنها اجازه میدهد نخواهند هر بار خود را درگیر احراز هویت دوعاملی یا پسورد کنند. یعنی توکن سرقتی به مجرمان سایبری اجازه میدهد تا خود را جای قربانیان قانونی زده و بدون وارد کردن اطلاعات به اکانت آنها لاگین کنند.
گوگل چه؟
گوگل از سال 2019 از این ماجرا خبر دارد. در سال 2021 این شرکت مقاله تحقیقاتی بزرگی را تحت عنوان «کمپین فیشینگی که با بدافزار سارق کوکی سازندگان یوتیوب را هدف قرار میدهد». گروه تحلیل تهدید گوگل تکنیکهای مهندسی اجتماعی و بدافزار بکاررفته در چنین حملاتی را بررسی کرد. در پی این تحقیق، شرکت مذکور اعلام کرد برای محافظت از کاربران نیز انجام داده است.
- دستورالعملهای اکتشافی بیشتری برای شناسایی و جلوگیری از ایمیلهای مهندسی اجتماعی و فیشینگ، سرقت کوکی و لایو استریمهای جعلی رمزارز پیادهسازی شد.
- وبگردی امن اکنون شامل قابلیتهای ارتقایافتهی شناسایی و بلاک وبپیجهای مخرب و دانلودهای آلوده میشود.
- یوتیوب فرآیندهای دخیل در انتقال کانالها را تقویت نموده و با موفقیت بیش از 99 درصد از کانالهای دستکاریشده را شناسایی و به صورت خودکار بازیابی کرده است.
- Account Security برای جلوگیری از فعالیتهای بالقوه ریسکی و هشدار به کاربران روندهای احراز را تقویت نموده است.
سوال این است: آیا همه این اقدامات کار خواهد کرد؟ با قضاوت از روی نظرات خود یوتیوبرها و این حقیقت که چنین هکهایی در آینده نیز مرتباً رخ خواهند داد میشود گفت «نه». لینوس تک خود حسابی به گوگل شکایت دارد: همینکه برای تغییر اسم کانال و عکس پروفایل پاک کردن همه ویدیوهای کانال او یوتیوب هیچ پسوردی نیاز نداشت وارد کند و حتی کد عامل دومی نیز در کار نبود!
خودتان از کانال خود محافظت کنید
برای اینکه کانالتان را از دست ندهید، بهتر است جانب احتیاط را رعایت کنید. اول از همه روی همه دستگاههای کاری خود راهکار امنیتی مطمئنی را نصب کنید و همیشه کارمندان خود را در خصوص امنیت سایبری آگاه سازید. هر کسی که به اکانتهای سازمانی دسترسی دارد باید:
- انواع معمول فیشینگ را بشناسد
- بتواند مهندسی اجتماعی را شناسایی کند
- هرگز لینکهای مشکوک را دنبال نکند
- هرگز از منابع غیرقابلاعتماد، پیوستهای آرشیوی را دانلود یا باز نکند
[1] Linus Tech
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
