12/02/2019

Popularny YouTuber wysłał do Ciebie wiadomość? Prawdopodobnie to phishing

Zagrożenia

Czy subskrybujesz kanał jakiegoś popularnego YouTubera? Jeśli tak, na Twoją skrzynkę może trafić wiadomość pochodząca rzekomo od ulubionego celebryty.

Na pierwszy rzut oka wiadomość brzmi wspaniale. Twoja gwiazda YouTube’a jest Ci bardzo wdzięczna za subskrypcję lub skomentowanie filmu. Zostałeś losowo wybrany i możesz odebrać cenną nagrodę — nowego iPhone’a X lub kartę podarunkową.

Niestety wiadomość jest fałszywa. Jest ona elementem nowego oszustwa wymierzonego w użytkowników serwisu YouTube, z którym nie potrafi on jeszcze walczyć.

Jak działa to oszustwo na YouTubie?

Schemat jest prosty. Najpierw oszuści zakładają nowe konto w serwisie YouTube, zmieniają jego awatar i wyświetlają nazwę kanału — tak aby były one takie same jak te, które należą do sławnego YouTubera. W tym celu wykorzystują oni standardową funkcję serwisu YouTube, która umożliwia użytkownikom wyświetlanie dowolnej nazwy kanału, bez względu na to, jaką nazwę nosi ich konto.

Następnie oszuści masowo wysyłają zaproszenie do grona do znajomych — w serwisie YouTube można je wysłać dowolnym osobom. Oszuści nie muszą nawet umieszczać na fałszywym koncie żadnej treści, aby zaproszenia te wyglądały przekonująco — oprócz nazwy i awatara zawierają one niewiele informacji. Wielu fanów akceptuje takie zaproszenie bez namysłu.

Ostatnim krokiem jest przygotowanie i wysłanie stosunkowo przekonującej wiadomości bezpośredniej.

Oszuści podszyli się już pod wielu znanych YouTuberów, takich jak Marques Brownlee, Philip DeFranco, James Charles, Jeffree Star, Lewis Hilsenteger from Unbox Therapy, Bhad Bhabie, Craig Thompson, Deji (ComedyShortsGamer) czy Ryland Adams.

Jaki jest cel tego oszustwa?

Oszuści chcą upiec dwie pieczenie na jednym ogniu, wykorzystując schemat phishingowy do gromadzenia danych osobowych i zarobienia pieniędzy. Bezpośrednia wiadomość wysłana w obrębie YouTube’a zawsze zawiera łącze służące teoretycznie do odebrania nagrody.

W rzeczywistości jednak łącze to prowadzi do oszukańczej strony internetowej. Chociaż wydaje się ona nieszkodliwa, gdy użytkownik ją otworzy, musi wypełnić informacje kontaktowe i osobiste (które trafią rzecz jasna w ręce oszustów). Na tym niestety się nie kończy. Następnie należy udowodnić, że „nie jestem robotem”, wypełniając ankietę — oczywiście fałszywą.

Jeśli ofiara zdecyduje się wypełnić ankietę, zostanie przeniesiona na nowa stronę, która z kolei przenosi na kolejną i tak w kółko. Na tym właśnie zarabiają cyberprzestępcy — na zwiększaniu ruchu na stronach określonych organizacji, które ich opłacają. Każdy użytkownik klikający łącze naraża się nie tylko wizytę na stronie oferującą wątpliwe usługi czy towary, ale także na infekcję na przykład ransomware czy trojanem bankowym.

Jak odkryli badacze ds. bezpieczeństwa (chociaż przyznają oni, że ich liczby nie prezentują pełnego zakresu problemu), oszustwo dotknęło już kilkudziesięciu tysięcy użytkowników serwisu YouTube, a może nawet i więcej — przynajmniej do momentu odwiedzenia fałszywej strony.

Jak zapewnić sobie bezpieczeństwo przed atakami phishingowymi wykorzystującymi serwis YouTube

  • Zaproszenia do grona znajomych i wiadomości wysłane bezpośrednio do Ciebie traktuj sceptycznie. Najpierw zweryfikuj, kim w rzeczywistości jest nadawca. Sprawdź, czy kanał jest oznaczony jako oficjalny, a na końcu przeanalizuj jego zawartość krytycznym okiem.
  • Nie podawaj swoich wrażliwych informacji na stronie internetowej, do której prowadzi łącze otrzymane w wiadomości z platformy YouTube. Przyjmij zasadę, że jeśli jakaś oferta wydaje się zbyt dobra, by była prawdziwa — prawdopodobnie jest oszustwem.
  • Korzystaj z niezawodnego programu zabezpieczającego, który poinformuje Cię, gdy po kliknięciu nastąpi próba przekierowania Cię na stronę phishingową lub inną szkodliwą.