Google publier un rapport détaillant une campagne de phishing dirigée contre les YouTubers, qui impliquait environ 15 000 faux comptes et plus d’un million de messages à des cibles. Les tentatives de phishing ont été menées par plusieurs pirates, et la société affirme avoir récupéré environ 4 000 comptes depuis fin 2019. Les attaquants n’essayaient pas seulement d’amener les créateurs à mettre leur mot de passe dans un faux site Web, ils essayaient d’infecter leur ordinateur avec des logiciels malveillants qui voleraient leurs cookies de connexion, ce qui est une attaque beaucoup plus intensive que d’envoyer un lien et d’attendre que quelqu’un néglige ses mots de passe.
YouTube ne dit pas publiquement qui recrutait les pirates, seulement qu’ils utilisaient des forums en russe pour faire de la publicité. L’accent mis par la campagne sur les comptes YouTube, au lieu des cibles traditionnelles comme les systèmes informatiques du gouvernement ou les banques, montre à quel point l’accès aux comptes sociaux des influenceurs et l’attention du public peuvent être précieux.
Le piratage fonctionnait généralement comme suit : les pirates ont contacté les YouTubers, prétendant proposer des offres publicitaires faisant la promotion d’un VPN, d’un programme antivirus ou d’un autre logiciel sur leur chaîne. Si le créateur était d’accord, il obtenait un lien qui, s’il était cliqué, infecterait son ordinateur à l’aide de divers programmes malveillants, généralement conçus pour voler les cookies et les mots de passe.
En raison de la prévalence de l’authentification à deux facteurs (que ce soit par le biais d’invites, de codes ou de clés matérielles), les cookies peuvent avoir été une cible particulièrement précieuse – les pirates examinaient ceux que les sites Web utilisent pour stocker la session de connexion d’un utilisateur (ces fichiers sont la raison pour laquelle vous n’avez pas à ressaisir votre mot de passe chaque fois que vous visitez un site).
Si les pirates ont obtenu le cookie du YouTuber (et ont pu l’utiliser avant son expiration), ils ont peut-être pu prendre le contrôle de la chaîne et potentiellement même changer les mots de passe pour verrouiller les propriétaires légitimes. Bien entendu, étant donné que les comptes YouTube sont liés aux comptes Google, ces types d’attaques ont également permis aux pirates d’accéder à Gmail, Google Drive, Photos et à d’autres services liés à ce compte.
Selon Google, après tout ce travail, les pirates ont pu vendre les comptes entre 3 et 4 000 dollars. Bien que cela semble relativement bon marché pour obtenir un compte YouTube avec un bon nombre d’abonnés, les chiffres peuvent être si faibles parce que les pirates voulaient s’accrocher à des comptes qu’ils pensaient pouvoir vraiment rapporter de l’argent – l’année dernière, Le fuiteur technologique Jon Prosser a déclaré Carte mère que les pirates ont pu gagner 10 000 $ en diffusant en direct une arnaque sur sa chaîne, promettant de doubler tous les téléspectateurs de Bitcoins envoyés.
Cette campagne, et d’autres comme celle-ci, pourrait être un facteur de motivation pour expliquer pourquoi Google annoncé plus tôt cette année que les créateurs YouTube seraient tenus d’activer la vérification en deux étapes (ce qui oblige à avoir à la fois un mot de passe et quelque chose comme un téléphone ou une clé de sécurité pour se connecter), et pourquoi c’est donner des milliers de clés de sécurité aux « utilisateurs à haut risque » sur une base annuelle. Ils n’arrêtent pas les pirates qui ont pris le contrôle de votre ordinateur, mais rendre les attaques plus coûteuses pourrait les ralentir.
Google a également combattu les pirates par d’autres moyens, en bloquant leurs e-mails et leurs fichiers, et en avertissant les utilisateurs lorsqu’ils visitent un site Web malveillant dans Chrome. Mais étant donné la valeur des comptes des créateurs, les criminels ne seront probablement pas dissuadés d’essayer de les obtenir, comme le commentaires frauduleux qui apparaissent partout sur YouTube, les attaques de phishing en constante évolution feront probablement partie de la vie en ligne dans un avenir prévisible.