El Grupo de Análisis de Amenazas de Google reveló un informe en el que detallan su lucha contra una campaña de phishing dirigida a creadores de contenido en YouTube. Se trata de una campaña que comienza en un foro de habla rusa donde se reclutan hackers que luego ofrecen «oportunidades de colaboración falsas» para atraer usuarios de la plataforma y secuestran su canal mediante un «ataque de robo de cookies». Luego el grupo se encarga de vender los canales o usarlos para difundir estafas de criptomonedas.
En dicho informe, la compañía compartió detalles del proceso que llevan a cabo estos hackers con el fin de educar a los usuarios y prevenir estos ataques. Según lo explicado, todo comienza con un correo electrónico de phishing que se envía a los youtubers, donde se ofrece una colaboración promocional. Una vez que el usuario accede y se acuerda un trato, se le envía un enlace a una pagina de malware disfrazada para que parezca una pagina de descarga. Una vez que el objetivo ejecuta el software, se extraen las cookies de su PC y se cargan a los «servidores de comando y control» de los hackers.
Estas cookies «permiten el acceso a cuentas de usuario con cookies de sesión almacenadas en el navegador». De esta forma, los hackers tienen acceso a las cuentas sin la necesidad de obtener las credenciales de inicio de sesión, ya que las cookies hacen pensar a los sitios que la sesión ya ha sido iniciada.
Las cuentas secuestradas son renombradas o vendidas
Una vez que los canales de Youtube han sido secuestrados, son renombrados para hacerse pasar por grandes empresas de tecnología o de intercambios de criptomonedas. Luego se llevan a cabo transmisiones que prometen obsequios a cambio de pagos por adelantado, con promesas del estilo «te devolvemos 10 veces lo que deposites», las cuales obviamente nunca son ciertas, o son vendidas con precios que alcanzan entre U$S 3 y U$S 4000, dependiendo de la cantidad de suscriptores.
Este método es viejo pero se volvió popular nuevamente debido a que los métodos de autenticación de dos factores presentan obstáculos considerables para los atacantes. Las cookies pueden evitar los controles de seguridad y las defensas adicionales de los procesos de inicio de sesión, por lo que este método se volvió a popularizar entre los atacantes.
Google afirma que ha reducido la cantidad de correos de phishing relacionados con estos ataques en un 99.6% desde mayo de 2021. Según las cifras publicadas, más de 1.6 millones de correos y 2.400 archivos relacionados a este tipo de phishing fueron bloqueados en los últimos meses. Así mismo, la compañía comenta que los atacantes comenzaron a cambiar de proveedores, abandonando Gmail, en un intento por evitar los bloqueos. Algunos de los nuevos proveedores utilizados a los que hay que estar atentos son: email.cz, seznam.cz, post.cz y aol.com.
Para terminar, Google declara que el mayor riesgo es el factor humano. Este tipo de correos pueden ser muy engañosos y, una vez que el ataque comienza, es muy difícil detenerlo. Recordemos que los ciberataques aumentaron en más de un 300% durante los dos últimos años, por lo que siempre recomendamos tomar medidas como la autenticación de dos factores y estar atentos a los archivos que recibimos o descargamos.
