2021/10/21

Google disseca ataque a YouTubers

A Google partilhou uma análise que fez a uma campanha de ataque contra YouTubers, envolvendo phishing e roubo de cookies.

Nos últimos anos, têm havido ataques cada vez mais numerosos contra YouTubers, que se tornam num canal apetecível de disseminação de malware ou esquemas, que facilmente se tornam numa via rápida para chegar a milhares de pessoas - com a agravante de que um atacante que se apodere das suas contas, poderá abusar da reputação e confiança que o canal conquistou ao longo dos anos.

Como em muitos outros casos, estes ataques não acontecem por artes mágicas, mas sim através de técnicas bem conhecidas. E quase sempre, tudo começa com um ataque de phishing.

Em quase todo o tipo de ataques, o primeiro passo consiste em fazer com o alvo clique em algo que o atire para uma página ou conteúdo controlado pelo atacante. E no caso de um YouTuber essa tarefa até é facilitada, com os atacantes a poderem fazer-se passar por empresas em busca de parcerias, disponibilizando produtos ou serviços para serem analisados, ou prometendo patrocínios. A Google disse ter detectado mais de 1000 domínios criados especificamente para esta campanha, o que revela a magnitude desta operação, com sites a simularem sites legítimos, tentando fazer com que os YouTubers descarregassem programas "para experimentar" contendo malware. (Dica: nunca correr software "oferecido" no computador principal, e de preferência corrê-lo numa máquina virtual para o isolar do resto do sistema.)

Este malware tem um objectivo específico: roubar os cookies nos computadores das vítimas que validam a sua sessão. Este cookies são os que permitem que um utilizador, depois de ter feito login num serviço, continue a poder utilizá-lo sem que esteja continuamente a ter que introduzir o seu nome de utilizador e password. Mas se caírem nas mãos erradas, facilitam a vida aos atacantes, que os podem utilizar para acederem aos serviços como se fossem o utilizador legítimo, ultrapassando até os recomendados sistemas de autenticação 2-factor.

Para o conseguirem, são muitas as artimanhas utilizadas, incluindo a apresentação de falsas janelas de erro, para - novamente - fazerem com que o utilizador clique em coisas que não devia, sem pensar demasiado nisso.
[falso popup com erro de sistema, para fazer com que o utilizador clique no botão de ok]

É para evitar este tipo de ataques que por vezes nos deparamos com situações em que os serviços nos pedem novamente a password antes de dar acesso a secções mais sensíveis (como alterar emails ou passwords, moradas, ou dados de pagamento), para que alguém que tenha conseguido entrar na conta usando cookies roubados, não possa alterar estas informações - embora possa continuar a fazer outras que já provoquem danos suficientes.

A Google também implementa outros sistemas mais avançados, que tentam detectar situações anómalas, como um suposto utilizador legítimo que tenha feito login em Portugal, aparecer magicamente noutro país. Nesses casos, o sistema pode invalidar o acesso a não ser que o utilizador volte a validar a sua identidade com novo login. E cada página e email detectado nestas campanhas é também adicionado à lista negra para alertar as potenciais futuras vítimas.

Mesmo não sendo uma garantia contra este tipo de ataques, o YouTube vai começar a exigir a utilização da autenticação 2-factor para todos os YouTubers com contas que recebam dinheiro de publicidade, a partir de 1 de Novembro. Algo que de resto é fortemente aconselhado para todos os utilizadores de serviços Google.

1 comentário:

  1. Estes "artistas" da Google, precisam de alterar muito a sua plataforma para impedir que as contas sejam furtadas com facilidade, já o sugeri, mas dá trabalho e eles não querem saber... prova disso é por exemplo o segundo factor de autenticação que só é solicitado quando a pessoa se autentica no serviço a primeira vez... depois na pior das hipóteses eles só solicitam a palavra-chave... o malware furta os cookies de autenticação e a senha e não há nada mais que pare os intrusos de fazerem estragos na conta.
    Basicamente todas as operações que possam causar estragos permanentes deveriam requerer o segundo factor de autenticação com a identificação clara do tipo de operação que está a ser realizada (ex.: desactivar segundo factor; mudar senha; apagar serviços; apagar conta; apagar vídeos; adicionar/ modificar/ remover e-mail's associados; etc.

    ResponderEliminar

[pub]