منذ عام 2019 على الأقل، يخترق الهاكرز قنوات يوتيوب فعالة، وأحيانًا يبثون خدع العملات المشفرة، وأحيانًا أخرى يعرضون الوصول إلى الحساب بمزاد علني، وقد شرحت غوغل بالتفصيل التقنيات التي يستخدمها هاكرز مأجورون لمساومة آلاف من صانعي المحتوى على يوتيوب في السنتين الأخيرتين.
خدع العملات المشفرة وسرقة الحسابات ليست نادرة الحدوث، فانظر إلى اختراق تويتر في الخريف الماضي مثالًا على تلك الفوضى على نطاق واسع، ولكن يبرز الهجوم المستمر على حسابات موقع يوتيوب؛ من ناحية اتساعه، والأساليب التي يستخدمها الهاكرز، وهي مناورة قديمة، ولكن يصعب التصدي لها.
يبدأ كل شيء بخدعة، إذ يرسل المهاجمون بريدًا إلكترونيًا إلى صانعي المحتوى على يوتيوب، ويبدو البريد كما لو أنه خدمة حقيقية -مثل VPN- أو برنامج تحرير الصور أو عروض لمضاد فيروسات، ويعرضون التعاون.
ويقترحون ترتيبات ترويج قياسية، مثل: اعرض منتجاتنا على متابعيك، وسندفع لك رسومًا. يُعرض مثل هذا النوع من الصفقات كل يوم على مشاهير اليوتيوب، وهي مجال ينشط مدفوعات المؤثرين على يوتيوب.
وعند النقر على الرابط وتحميل المنتج، سيصل صانع المحتوى إلى قاعدة برمجيات خبيثة، بدلًا من الصفقة الحقيقية، وفي بعض الحالات، ينتحل الهاكرز مواقع معروفة -مثل Cisco VPN وStream games- أو يتظاهرون بأنهم وسائط إعلامية تركز على كوفيد-19.
وتقول غوغل أنها وجدت أكثر من 1000 نطاق حتى الآن، صُممت بغرض الإيقاع بمستخدمي اليوتيوب دون قصد، وهذه مجرد لمحة عن اتساع النطاق.
ووجدت الشركة أيضًا نحو 15000 حساب بريد إلكتروني مرتبطين بالمهاجمين أصحاب المخطط، ويبدو أن الهجمات لم تكن من عمل كيان واحد، بدلًا من ذلك، تقول غوغل أن العديد من الهاكرز أعلنوا عن خدمات سرقة الحسابات في منتديات نقاش باللغة الروسية.
فور أن يحمّل اليوتيوبر البرنامج الخبيث حتى دون قصد، فإنه يلتقط ملفات تعريف ارتباط محددة من متصفحهم، وتؤكد ملفات تعريف الارتباط أن المستخدم نجح في تسجيل الدخول إلى حسابه.
ويمكن للهاكرز تحميل ملفات تعريف الارتباط المسروقة تلك إلى خادم خبيث، ما يتيح لهم الظهور على أنهم ضحية حقيقية، وتعد ملفات تعريف الارتباط ذات قيمة خاصة للمهاجمين، لأنها تلغي الحاجة إلى المرور بأي جزء من عملية تسجيل الدخول.
يقول جيسون بولاكيس عالم الكمبيوتر في جامعة إلينويس، في شيكاغو، الذي درس تقنيات سرقة ملفات تعريف الارتباط: «قد تشكل الآليات الأمنية الإضافية، مثل المصادقة ثنائية العوامل؛ عقبات كبيرة أمام المهاجمين». وأضاف: «وهذا يجعل من ملفات تعريف الارتباط موردًا قيمًا لهم، إذ يمكنهم من تجنب عمليات الفحص والدفاع الأمنية الإضافية، التي تُشغل في أثناء عملية تسجيل الدخول».
وفي هذه الحملات، قالت غوغل أنها لاحظت استخدام الهاكرز نحو اثنتي عشرة أداة خبيثة جاهزة ومفتوحة المصدر، لسرقة ملفات تعريف الارتباط من المتصفح على أجهزة الضحايا، ويمكن للعديد من أدوات التهكير هذه سرقة كلمات السر.
يقول بولاكيس: «لا تزال هجمات اختراق الحسابات تهديدًا متفشيًا، لأن المهاجمين يستفيدون من الحسابات المخترقة بطرق عديدة». وأضاف: «يمكن للمهاجمين استخدام البريد الإلكتروني للحسابات المخترقة لنشر عمليات الاحتيال والخدع الإلكترونية، وحتى أنه يمكنهم استخدام ملفات تعريف الارتباط لاستنزاف الأموال من الحسابات المالية للضحية».
لم تؤكد غوغل أي من الحوادث المحددة ترتبط بسرقة ملفات تعريف الارتباط، ولكن حدثت موجة ملحوظة من عمليات السرقة -في أغسطس عام 2020- عندما اخترق الهاكرز حسابات متعددة، بمئات الآلاف من المتابعين، وغيروا أسماء القنوات إلى أسماء مختلفة، مثل إيلون ماسك وسبيس إكس، ثم بثوا حيل سرقة تبرعات بيتكوين، ولم يتضح مقدار الإيرادات التي حققتها أي منها، ولكن يُفترض أنها كانت ناجحة على الأقل، نظرًا إلى مدى انتشارها.
وقد تزايد هذا النوع من سرقة الحسابات على يوتيوب بين عامي 2019 و2020، وتقول غوغل أنها دعت عددًا من فرقها الأمنية لمعالجة المسألة.
ومنذ مايو 2021، قالت الشركة أنها اكتشفت 99.6% من رسائل الاحتيال هذه على جيميل، مع حظر 1.6 مليون رسالة، و2400 ملف خبيث، وعرض 62000 تحذير من صفحات التصيد، واستعادة 4000 حساب بنجاح.
ولاحظ باحثو غوغل الآن انتقال المهاجمين إلى استهداف صانعي المحتوى الذين يستخدمون مزودي البريد الإلكتروني غير جيميل، مثل aol.com وemail.cz وseznam.cz وpost.cz، طريقة لتجنب اكتشافهم من قبل المتصيدين.
ويعيد المهاجمون توجيه أهدافهم إلى واتساب، وتيليغرام، وديسكورد، أو تطبيقات المراسلة الأخرى للابتعاد عن الأنظار. ويوضح Google tag في مدونة: «أُعيد تصنيف عدد كبير من القنوات المخترقة عند البث الحي لخدع العملات المشفرة، واستُبدل اسم القناة، وصورة الملف الشخصي، والمحتوى بعلامة تجارية للعملات المشفرة، لانتحال صفة شركات التكنولوجيا أو شركات الصرف».
وبث المهاجمون مقاطع فيديو مباشرة، وهي حيل تعد بعملات مشفرة مقابل مساهمة أولية. ورغم المصادقة ثنائية العوامل لا يمكنها إيقاف عمليات سرقة ملفات تعريف الارتباط المعتمدة على برمجيات خبيثة، فإنها أسلوب حماية مهم ضد أنواع من الاحتيال والتصيد.
بداية من 1 نوفمبر، ستطلب غوغل من صانعي المحتوى على يوتيوب -الذين يجنون الأموال من قنواتهم- تشغيل المصادقة ثنائية العوامل على حساب غوغل، التي ترتبط باستوديو يوتيوب ومدير المحتوى.
ومن المهم أيضًا مراعاة تحذيرات غوغل المتعلقة بالتصفح الآمن حول صفحات قد تكون خبيثة، وكالعادة كن حذرًا على ماذا تنقر، وأي الملحقات تفتح على إيميلك.
ونصيحة أبسط لمتابعي يوتيوب: إذا كانت قناتك المفضلة تعرض صفقة عملات مشفرة لا يمكن رفضها، تجاوزها.
اقرأ أيضًا:
وداعًا للهاكرز! الإنترنت الكمومي سيجعل الاختراق شيئًا من الماضي
كيف تحمي حسابك على تويتر من الاختراق؟
ترجمة: حلا بوبو
تدقيق: حسام التهامي
مراجعة: حسين جرود
