Los ciberdelincuentes eran piratear canales de YouTube desde al menos 2019 para retransmitir en directo estafas de criptomonedas, según publica esta semana el medio especializado en tecnología Wired. La mecánica sería similar a la del año pasado, cuando las cuentas de Twitter de celebridades como Donald Trump, Jeff Bezos y Elon Musk fueron utilizadas para una estafa de ingeniería social criptográfica.
Google detalló la técnica utilizada por los ciberdelincuentes contratados para involucrar a miles de creadores de YouTube en los últimos años. Las estafas de criptomonedas y las apropiaciones de cuentas en sí mismas no son infrecuentes, pero un ataque sostenido como el que ahora se conoce denota una práctica que la compañía no había reconocido hasta ahora.
Como explicó Wired, todo comienza con un “Suplantación de identidad”, es decir, un robo de contraseña. Los atacantes envían a los creadores de YouTube un correo electrónico que parece provenir de un servicio real, como una VPN, una aplicación de edición de fotos o una oferta de antivirus, y se ofrecen a colaborar. Proponen un arreglo promocional estándar: muestre nuestro producto a sus espectadores y le pagaremos una tarifa. Es el tipo de transacción que se produce todos los días para youtubers.
Sin embargo, al hacer clic en el enlace para descargar el producto, se dirigió al creador. a un lugar de aterrizaje de malware en lugar del real. En algunos casos, los ciberdelincuentes se hicieron pasar por cantidades conocidas, como las VPN de Cisco y los juegos de Steam, o fingieron ser medios de comunicación centrados en COVID-19.
Google dice que ha encontrado más de mil dominios hasta la fecha que fueron diseñados específicamente para infectar a YouTubers. La compañía también encontró 15.000 cuentas de correo electrónico asociadas con los atacantes detrás del esquema. Los ataques no parecen haber sido obra de una sola entidad; más bien, dice Google, varios piratas informáticos anunciaron servicios de adquisición de cuentas en foros en ruso.
Cómo funciona la estafa de los youtubers
Los atacantes ingresaron mirando las cookies después de la suplantación de identidad AFP photo
Una vez que el youtuber descarga inadvertidamente el software malicioso, toma cookies específicas de su navegador. Estas “cookies de sesión” confirman que el usuario ha iniciado sesión correctamente en su cuenta. Un ciberdelincuente puede cargar estas cookies robadas en un servidor malintencionado, lo que les permite hacerse pasar por la víctima ya autenticada. Las cookies de sesión son especialmente valiosas para los atacantes porque eliminan la necesidad de pasar por cualquier parte del proceso de inicio de sesión.
Estas técnicas de “paso de cookies” existen desde hace más de una década, pero siguen siendo eficaces. En estas campañas, Google dice que observó que los piratas informáticos usaban alrededor de una docena de herramientas de malware de código abierto y listo para usar para robar las cookies del navegador de los dispositivos de las víctimas. Muchas de estas herramientas de piratería también podrían robar contraseñas.
Google no confirmó qué incidentes específicos estaban relacionados con la ola de robo de cookies, pero detectó un aumento notable en las adquisiciones que se produjo en agosto de 2020, cuando los ciberdelincuentes secuestraron varias cuentas con cientos de miles de seguidores y cambiaron los nombres de los canales a variaciones de “Elon Musk” o “Space X”, luego estafas de bitcoins transmitidas en vivo.
No está claro cuántos ingresos generó cualquiera de estas estafas, pero presumiblemente estos ataques han tenido al menos un éxito moderado dado lo generalizados que se han vuelto.
Las cifras preocupantes de la estafa
Google está preocupado por la seguridad de los youtubers y parece que no puede resolverlo. Foto de Reuters
Este tipo de robo de cuentas de YouTube aumentó en 2019 y 2020, y Google dice que trajo a varios de sus equipos de seguridad para abordar el problema. Desde mayo de 2021, la compañía dice que ha detectado el 99,6 por ciento de estos correos electrónicos de phishing en Gmail, con 1,6 millones de mensajes y 2.400 archivos maliciosos bloqueados, 62.000 advertencias de páginas de phishing mostrado y 4000 restauraciones de cuenta exitosas.
Ahora, los investigadores de Google han detectado cómo los atacantes apuntan a los creadores que utilizan proveedores de correo electrónico distintos a Gmailcomo aol.com, email.cz, seznam.cz y post.cz, como una forma de evitar la detección de phishing de Google.
Los atacantes también han comenzado a intentar redirigir sus objetivos a WhatsApp, Telegram, Discord u otras aplicaciones de mensajería para permanecer fuera de la vista, por lo que este tipo de estafa podría ir mucho más lejos de lo que cree.
Aunque la autenticación de dos factores no puede detener estos robos de cookies basados en malware, es una protección importante contra otros tipos de estafas y phishing.
Por eso siempre se recomienda activarlo: de hecho, a partir del 1 de noviembre, Google exigirá a los creadores de YouTube que moneticen sus canales que activen el factor doble para la cuenta de Google asociada a su YouTube Studio o al Administrador de contenido de YouTube Studio. .
SL