YouTubeクリエイターを狙った説得力のあるフィッシング・キャンペーンが展開されており、もしそれが成功すれば、攻撃者はあなたのGoogleログインを盗むだけでなく、Gmailやファイル、支払い情報を含むGoogle アカウント全体を乗っ取り、あなたのYouTubeチャンネルをハイジャックしてあなたの視聴者を詐欺に利用することができます。
その誘い文句は、セキュリティに詳しいユーザーでさえ騙される可能性のある説得力のある偽の著作権ストライク通知です。攻撃サイトはあなたのプロフィール画像、購読者数、最新の動画などの実際のチャンネルデータを取得して、個人的な脅し用ページを作成します。その後、あなたのGoogleアカウントを盗むように設計されたサイン・イン・ページへ誘導します。
この事業は加盟店制度のように機能します。複数の攻撃者が同じプラットフォームを共有し、それぞれが異なるクリエイターに対するキャンペーンを実行しています。
あなたのYouTubeチャンネルが思っているよりも価値がある理由
フルタイムのクリエイターにとって、YouTubeチャンネルは単なる趣味ではなく、事業です。広告、スポンサーシップ、グッズを通じて収益を生み出します。そして、それはすべてあなたのGmail、Google Drive、支払い詳細も管理する単一のGoogleログインの背後にあります。
これがクリエイターを非常に魅力的な対象にする理由です。チャンネルをハイジャックする攻撃者は、通常、数分以内にそれを通常は暗号通貨企業になりすましに変更し、既存の視聴者を使用してライブストリーム詐欺を実行します。元のクリエイターはロックアウトされ、彼ら自身の購読者を詐欺するために使用されている彼らの長年の仕事を見ています。
著作権ストライクは完璧な誘い文句です。なぜなら、それはクリエイターが最も恐れていることを利用するからです。それは彼らのチャンネルを一晩で失うことです。
「YouTubeの著作権ステータスを即座に確認」
キャンペーンはdmca-notification[.]infoと呼ばれるサイトから実行されます。ブラウザのタブは「Youtube | Copyright strikes」と読み込まれ、ページ自体はYouTubeロゴ、検索バー、有用な指示が含まれた、清潔で専門的に見えます。
チャンネル名、@ハンドル、または動画リンクを入力して著作権ステータスを確認するよう招待します。すぐに疑わしいものは何も見当たりません。
各フィッシングリンクは対象のチャンネルハンドルをURLに直接含めるため、ページは何かを入力する前に既にあなたが誰であるかを知っています。
ソースコードにはsuppressTelegramVisitと呼ばれるトラッキングフラグが含まれており、アフィリエイトパラメータが存在するかどうかに応じてアクセスがログされる方法を変更します。これは、オペレーターがTelegramを通じてトラフィックを調整している可能性があることを示唆していますが、キットはあらゆるプラットフォームを通じて配布される可能性があります。
あなた自身の動画があなたに対して使用されている
ページがあなたのチャンネル名を取得すると、YouTubeから実際のデータを取得します。あなたのアバター、購読者数、動画数、および最新のアップロード(そのタイトル、サムネイル、視聴数を含む)です。その情報は、偽の著作権苦情を構築するために使用されます。
あなたは自分のブランディングを、あなたの最新動画の特定のセグメントが著作権侵害でフラグが付いたという主張と並べて見ます。タイムスタンプは各被害者の動画の長さに基づいて動的に生成されるため、各通知はユニークで合法的に見えます。それはあなたの実際の家のアドレスを含む偽の法的通知を受け取ることに似ています。個人的な詳細は、スパムとして却下しにくくします。
「3日以内に応答しないと実施措置に直面します」
ページは圧力を増します。警告は、動画を削除してもストライクを削除しないことを通知します。赤い通知は、3日以内に応答しない場合、チャンネルが実施措置に直面することを脅迫します。提案される修正は簡単です。Googleでサイン・インしてチャンネルの所有者であることを確認すると、請求は24時間以内に解決されます。
ページ上のすべての要素は、立ち止まって考える前に「Googleでログイン」ボタンに向けてあなたを押し進めるように設計されています。
あなたのアカウントを盗むサイン・イン・ページ
そのボタンをクリックすると、サイトは独自のバックエンド・サーバーに接続して外部フィッシング・ページのアドレスを取得し、攻撃者がいつでも新しいドメインに切り替えることができるものです。
観察されたトラフィックでは、/api/get-active-domainへの要求がblacklivesmattergood4[.]comドメインを返し、その後、著作権通知ページの上に全画面オーバーレイ内に読み込まれました。
次に見えるのは、古典的なブラウザ・イン・ザ・ブラウザ攻撃です。HTMLとCSSで完全にレンダリングされた偽のChrome ポップアップです。「Sign in – Google Accounts – Google Chrome」と書かれたタイトルバー、南京錠アイコン、accounts.google.comのように見えるURLが含まれています。どれも本物ではありません。それらはすべてグラフィックスです。唯一の本物のアドレスバーはあなたの実際のブラウザの上部にあり、それでもdmca-notification[.]infoを表示しています。
偽のウィンドウ内には、Googleのサイン・イン・ページの説得力のあるレプリカが座っています。それは本物と全く同じに見えますが、すべてのキー入力は攻撃者に送られます。
トラフィック・キャプチャはまた、追加のドメインへの接続試行を示しました。dopozj[.]net、ec40pr[.]net、xddlov[.]net。これらはキャプチャ時に502エラーを返しました。これらはオフラインだったバックアップ・インフラストラクチャまたは認証情報リレーサーバーの可能性があります。
ローテーション・ドメイン・アプローチは、このキャンペーンを耐性のあるものにしています。フィッシング・ドメインはリアルタイムでキャッシュなしでフェッチされ、攻撃者がインフラストラクチャを素早くローテーションできるようにします。1つのドメインが削除された場合、次の被害者は新しいドメインに送信されます。
認証情報が入力されると、オーバーレイは閉じられ、被害者は確認またはエラーなしに著作権通知ページに返されます。これにより、攻撃者は被害者が何かが起こったことに気付く前に盗まれた認証情報を使用する時間を得ます。
大きなチャンネルは目的上無料パスを取得します
興味深い詳細の1つ。キットは対象チャンネルが300万人を超える購読者を持っているかどうかを確認します。もしそうなら、フィッシング・フロー全体はスキップされます。著作権ストライク警告とログインボタンの代わりに、ページは無害なメッセージを表示します。「あなたのチャンネルは良好な状態にあります。これ以上のアクションは必要ありません。」
これはほぼ確実に回避戦術です。非常に大きなチャンネルは、専門のセキュリティ・チーム、YouTubeの信頼とセーフティ・スタッフとの関係、または詐欺を公然と報告する場合に迅速な削除をトリガーする可視性を持つ可能性があります。自動的にそれらを除外することにより、キットはまさに操作をシャットダウンするのに最も適切な人々からの注意を引くリスクを減らします。
単なる1人の詐欺師ではない
ソースコードは、これが1人によって実行されている単一のフィッシング・ページではないことを明らかにしています。キットには、各攻撃者が送信するフィッシング・リンクに埋め込まれた独自のIDを取得するアフィリエイト・トラッキング・システムが含まれています。中央バックエンド・トラックは、どのオペレーターが被害者を配信したか、および各対象がファネルをどこまで進めたかを追跡します。私たちのトラフィック・キャプチャはこれを確認します。フィッシング・リンクには紹介IDが含まれていました。ref=huyznaetdmca。デフォルトアフィリエイトタグは、ロシア語フレーズの音訳のように見えます。GoogleやYouTubeなどのブランド名は、自動セキュリティスキャナーを回避するためにソースコード内でそっくりのキリル文字でも書かれています。
つまり、これはフィッシング・アズ・ア・サービスです。複数の攻撃者がYouTubeクリエイターに対してスケール時のキャンペーンを実行するために使用できる共有プラットフォーム。
自分を保護する方法
このキャンペーンは、フィッシングがナイジェリアの王子からの不注意なメールをはるかに超えて移動したことを思い出させるものです。今日のフィッシング・キットは、ローテーション・インフラストラクチャ、リアルタイム・パーソナライゼーション、加盟店式流通を備えた専門的に設計されたプラットフォームです。
YouTubeクリエイターの場合、重要なルールは単純です。著作権ストライクはYouTube Studioにのみ表示されます。
他の場所で警告を受けた場合は、疑わしいものとして扱ってください。
- 緊急性に注意してください。実際の著作権プロセスはあなたをアクションに急ぎません
- studio.youtube.comに直接アクセスするか、信頼できるチャネルを通じてステータスを確認します
- メールまたはメッセージのリンク経由でサイン・インしないでください
偽のブラウザ・ウィンドウを見つける
- ドラッグを試してください。本物のウィンドウは自由に移動します。偽のものはページ内に固定されています
- ブラウザを最小化します。本物のポップアップは開いたままです。偽のものは消えます
- URLを確認してください。それと相互作用できない場合は、単なる画像です
すべてが正しく見えても、ユーザー名とパスワードを入力する前に常に実際のアドレスバーを確認してください。
あなたがすでに詳細を入力した場合は、素早く対応してください。
- Googleパスワードを直ちに変更します
- アカウント・セキュリティ・設定でアクティブなセッションを取り消します
- 無許可の変更についてあなたのYouTubeチャンネルを確認します
侵害インジケーター(IOC)
ドメイン
dmca-notification[.]info(一次フィッシング・サイト)blacklivesmattergood4[.]com(認証情報ハーベスト・ドメイン — キャプチャ時にアクティブ)dopozj[.]net(関連インフラストラクチャ — キャプチャ時に502)ec40pr[.]net(関連インフラストラクチャ — キャプチャ時に502)xddlov[.]net(関連インフラストラクチャ — キャプチャ時に502)
