Найти тему

Фишинг: Как атакующие обходят защитные системы, взламывая популярные YouTube-каналы и Telegram-аккаунты

Оглавление

Фишинговые атаки становятся все более распространенными и сложными, обходя самые продвинутые защитные системы. Злоумышленники активно применяют этот метод атаки, воздействуя на эмоции людей и манипулируя ими так, чтобы они совершили нужные атакующему действия. В последнее время популярные YouTube-каналы и Telegram-аккаунты стали целью фишинговых атак, где атакующие взламывают системы безопасности и получают доступ к аккаунтам. В данной статье мы рассмотрим примеры таких атак, а также объясним, как атакующие обходят защитные системы.

Угон YouTube-каналов

Недавно был взломан популярный YouTube-канал Linus Tech Tips, на который было подписано более 15 миллионов человек. После взлома канала, злоумышленники запустили онлайн трансляцию с видеорядом Илона Маска и Джека Дорси, где они обсуждали криптовалюту, а в описании к трансляции было предложение перейти по ссылке и получить бесплатные биткоины.

  • Также атакующим удалось получить доступ к двум другим каналам жертвы и запустить аналогичные стримы.
  • Автор установил вредоносный софт, предназначенный для кражи файлов cookie, удаленного управления ПК и, в конечном итоге, захвата аккаунта YouTube.
  • Схема с коммерческим предложением и вредоносным ПО является старой как мир, но остается актуальной по сей день. Ранее злоумышленники взломали канал британской армии на YouTube, а также Vevo-каналы нескольких исполнителей, включая Lil Nas, Drake, Taylor Swift и других.

Этот пример демонстрирует, что фишинговые атаки не только обходят продвинутые системы безопасности, но и используют эмоциональное воздействие, чтобы убедить людей совершить нежелательные действия.

Угон Telegram-каналов

Атаки на YouTube-каналы - не единственный случай фишинга, который стоит упомянуть. Использование этого метода атаки распространено и в Telegram, где злоумышленники пытаются завладеть учетными записями администраторов каналов. Существует относительно старый, но актуальный метод обмана администраторов различных ресурсов.

  • Почему именно администраторов? Потому что именно администраторы являются ключевой аудиторией Telegram для атакующего. Если их удается обмануть, атакующий получает доступ к каналам \ чатам \ ботам и т.д., которые можно продать, опубликовать рекламу скам проектов и еще десятки вариантов. Разумеется, данный метод работает со всеми пользователями, но максимальный профит атакующий получает только в том случае, если взламывают администратора.
  • Суть в том, что атакующий создает фейковый аккаунт, называет его "Уведомления" и начинает направлять различным администраторам сообщение следующего содержания: "Мы обнаружили вход в Ваш аккаунт с нового устройства, если это были не Вы, немедленно пройдите авторизацию на системном сайте Telegram для защиты Ваших данных, доступно исключительно по ссылке **** ". Разумеется, если жертва пройдет авторизацию на фишинговом сайте, то лишится своего аккаунта, независимо от того, установлен 2FA или нет.

Это один из многих методов, который позволяет загнать жертву на фишинговый сайт. А что произойдет дальше, зависит от фантазии атакующих. Берегите свои данные и сохраняйте спокойствие в таких ситуациях, ведь именно паника может повлиять на Ваш выбор "Нажать на ссылку или нет?".

Ключевой фактор в успешных фишинговых атаках - это способность атакующих обходить самые продвинутые защитные системы. В примере выше злоумышленникам удалось установить вредоносное программное обеспечение, которое позволило им получить доступ к аккаунтам и даже сменить владельца каналов или аккаунтов Telegram. Но существуют и другие инструменты для угона telegram-каналов. Атакующие пытаются завладеть учетными записями администраторов, рассылая им зараженные файлы под видом рекламной презентации. Вредоносный файл чаще всего имеет расширение: «.scr», «.com», реже — «.doc». и имеет название вроде «условия_сотрудничества» или «промо-видео».

Инструмент, которым пользуются злоумышленники называется Stealer Hunter, который имеет определенный функционал:

  • Стиллер нативный (без каких либо зависимостей по типу .NET Framework
  • Написан на С++
  • Полностью анонимная работа в Telegram, без каких либо сайтов в качестве хранения логов.
  • Не нужен хостинг и домен,панель уже стоит на хостинге. Нужен только Telegram для работы со стиллером (у жертвы он не нужен).
  • Можно поставить свою задержку повторов на получение лога с определенного ПК.
  • Возможность создавать билд в любое время в Telegram панели.

Информация, которую собирает:

  • Пароли, кукисы, автофил популярных браузеров, Крипта, Steam (ssfn, config, текстовик в котором будут ссылки на аккаунты) Discord, Telegram Session, Скриншот рабочего стола, Время запуска, Путь с которого был запущен файл, IP, Город,Страна, Карты, Файлы рабочего стола.

Подписка на лицензионное использование Stealer Hunter стоит 700 рублей в месяц, либо 4000 рублей бессрочная лицензия. Исходя из этой информации, более менее понятно как был угнан Telegram канал посвященный Reddit.

Угон Telegram-канала Reddit

Давайте рассмотрим ситуацию с угоном Telegram канала Reddit . С точки зрения социальной инженерии, эта тема особенно интересна. В чем же соль обмана? На самом деле, ничего нового. Администратору канала пишет "рекламодатель" от лица Wondershare Filmora, обсуждает цену, условия, предлагает прорекламировать софт для видеомонтажа.

  • Далее атакующий отправляет техническое задание и сообщает что произведет оплату ближе к дате публикации рекламного поста. После этого атакующий направляет ссылку на архив, в котором содержится видео для публикации и программное обеспечение, якобы для "монтажа видеороликов". Разумеется как и 50% рядовых пользователей, администратор не только скачал видео, но и установил себе на ПК софт из архива
  • А вот что на самом деле администратор установил себе на ПК: Promotion Video.scr — HEUR:Backdoor.Win32.Agent.gen. Более подробно об этом трояне можно прочитать на CodeBy.
  • Благодаря удаленному доступу, атакующий получил полный доступ к аккаунту администратора и сменил владельца канала. Вопрос о том как атакующий обошел 2FA на передачу канала, остается открытым.
  • Суть заключается не в том что злоумышленник обошел 2й фактор, а в том что атакующему, с помощью социально инженерии, с легкостью удалось угнать канал и продать его за 1500000 рублей.

Какие методы социальной инженерии использовал атакующий:

  • Рекламное предложение поступило от менеджера женского пола, это предрасполагает к большему доверию в межличностной коммуникации.
  • Рекламодатель при общении указал что софт НЕ нужно устанавливать, хороший трюк с точки зрения психологии.
  • Отличный текст который был заранее продуман и заготовлен.
  • Необходимое программное обеспечение, с помощью которого был угнан канал.

Фишинговые атаки на популярные YouTube-каналы и Telegram-аккаунты становятся все более распространенными и сложными. Атакующие обходят самые продвинутые защитные системы, воздействуя на эмоции и манипулируя людьми так, чтобы они совершили действия, которые нужны атакующим. Примеры фишинга в YouTube и Telegram показывают, что защита от таких атак требует бдительности, проверки источников и включения дополнительных слоев безопасности, таких как двухфакторная аутентификация. Усиление осведомленности пользователей и применение рекомендаций по безопасности помогут предотвратить успешные фишинговые атаки.