Die Experten der Bitdefender Labs beobachten aktuell die verstärkte Übernahme von YouTube-Kanälen durch Cyberkriminelle. Beim Auswerten von Daten von Ende Juli bis Ende September 2023 zeigte sich, das Hacker reichweitenstarke YouTube-Kanäle übernehmen, um mit dem Vehikel von Tesla- und Elon-Musk-Videos betrügerische Links zu lancieren.
Hacker ködern die Zuschauer, die diese Mails anklicken, mit attraktiven Bitcoin-Angeboten. Hauptziel sind Diebstahl von Geld sowie das Auslesen von Nutzerdaten und persönlichen Informationen. Die Cyberkriminellen gehen offenbar mit automatisierten Tools vor. Laut den Bitdefender Labs liegt die maximale Zahl der Abonnenten von gekaperten Accounts bei rund 9.990.000.
Ein gekaperter Kanal konnte eine maximale Nummer an Views von rund 3,6 Milliarden aufweisen. Die Bitdefender-Labs sehen einen verstärkten Trend für ein solches Streamjacking, bei dem die echten gekaperten Kanäle sehr gut nachgebildet sind. Private und geschäftliche Betreiber von YouTube-Kanälen sollen auf Anzeichen für eine Übernahme ihrer Accounts achten.
Die Urheber des YouTube-Streamhackings gehen auf zweierlei Arten vor: Die Übernahme des Accounts erfolgt durch Versand einer betrügerischen Mail mit Malware-Anhang an die Inhaber des YouTube-Channels. Inhalt ist meist ein Angebot zur Zusammenarbeit oder ein Verweis auf angeblich verletzte Urheberrechte.
Die heruntergeladene Malware erlaubt den Zugriff auf die YouTube-Nutzerdaten. Sie überwindet auch zusätzliche Sicherheitsebenen, wie etwa eine Zweifaktor-Authentifikation. Im Ergebnis sind die Channel-Inhaber von ihrem Account in den meisten Fällen ausgeschlossen.
Danach bewerben die Angreifer YouTube-Livestream-Popups in den Feeds der Kanäle. Dabei bieten sie üblicherweise die gleichen Inhalte, die der Abonnent von dem echten YouTube-Stream kennt und erhält. Bei diesen Feeds handelt es sich um Links auf erneut übertragenen Content, bisweilen auch um täuschend gut gemachte Deepfakes in hoher Qualität.
Die betrügerische Malware verbreiten die Hacker über einen Backlink oder einen QR-Code mit Verweis auf eine schadhafte Webseite. Durch das Deaktivieren der Kommentarfunktion verhindern die Angreifer, dass die tatsächlichen Betreiber des Kanals ihre Nutzer vor den betrügerischen Aktivitäten warnen.
Die Menge der Pop-Up-Livestreams sowie deren einheitliche Gestaltung weisen darauf hin, dass die Angreifer automatisiert vorgehen und Phishing-Bausätze verwenden. Die Bitdefender-Labs konnten das Bewerben dieser Phishing-Kits über Telegram entdecken. Sämtliche schadhaften Webseiten mit Malware waren mit Cloudflare geschützt, was eine automatische Analyse durch Abwehrlösungen erschwert.
Angriffsfläche YouTube-Channel überwachen
Die Bitdefender-Labs warnen daher alle Betreiber von YouTube-Kanälen. Ein Hacking eines Accounts schadet sowohl den Nutzern als auch der Glaubwürdigkeit, der Reichweite und dem Wert eines YouTube-Accounts durch Nutzerverlust. Weitere Attacken auf die Inhaber und Abonnenten des Kanals sind möglich.
Indizien für eine Übernahme eines YouTube-Accounts sind:
- Die Betreiber des Accounts können sich nicht in ihren Account einloggen.
- Die Einstellungen für das Konto haben sich geändert.
- Profilbild, Beschreibung und Handle von YouTube-Inhalten an Nutzer sind modifiziert.
- Im YouTube-Kanal finden sich unbekannte hochgeladene Videos.
- Nachrichten über Zugänge auf den Account von ungewöhnlichen Accounts oder Orten.
Inhaber von YouTube-Accounts sollten zur Sicherheit ihrer YouTube-Kanäle mit folgenden Maßnahmen beitragen:
- Wahl eines einmaligen und starken Passworts für die Accounts, welches nicht wiederverwertet wird.
- Zusätzliche Sicherheitsmechanismen wie Zweifaktor- oder Multifaktor-Authentifikation.
- Vorsicht bei der Interaktion mit Links im Kommentarbereich zu den eingestellten Videos.
- Regelmäßige Revision der Liste von Personen mit Zugang zum YouTube-Account. Diese Nutzer sollten nur über beschränkte Rechte verfügen
- Umfassende IT-Sicherheitslösungen installieren, insbesondere gegen bösartige Angriffe und Phishing.