wtorek, 20 lutego 2024

WŁAMANIE na kanał TechManiacHD

👤🫨 PRZEJĘCIE kanału TechManiacHD 🫨👤

🕵️‍♀️💰 [czyli jak do tego doszło, kto oraz ile na tym zarobił] 💰🕵️‍♀️



W dniu 15/02/2024 doszło do włamania i przejęcia konta Google techmaniachd, wraz ze wszystkimi przynależnymi kanałami. Główny, liczący na tamten moment 195K subskrypcji oraz 60 mln wyświetleń kanał TechManiacHD stał się najważniejszym celem ataku.

Nim uznasz, że tracisz tu swój czas wiedz, że konto było zabezpieczone niemożliwym do sforsowania hasłem wraz z dwuetapową weryfikacją poprzez Google Authenticator. Wydrukowane kody pozwalające na odzyskanie przechowywane były w sejfie. Więc jak bez dostępu do tych narzędzi, ani znajomości hasła doszło do wyłączenia wszystkich zabezpieczeń przez włamywaczy w ciągu mniej niż 2 minut? Jeśli masz konto na Gmail, musisz to przeczytać! Zapraszam do lektury!

Tytuł tego artykułu powinien brzmieć “Człowiek zawsze winny, ale technologia choć mogła, to nie pomogła”. A czemu nie pomogła? No cóż… Pieniądze! Zarabiają porywacze, zarabia na tym Google, lecz tym zajmiemy się we właściwym punkcie.


POCZĄTKI

Kanał TechManiacHD założyłem 20 września 2015 roku czysto z nudy, chęci zabawy montażem i podzielenia się jakąś tam wiedzą, którą zawsze lubiłem się dzielić. Wcześniej, przez kilka  lat byłem administratorem na forum związanym z PlayStation 3, publikowałem recenzje gier oraz pisałem poradniki dotyczące bardziej samej kwestii technicznych związanych z konsolą i sposobami jej naprawy. Wraz z PS4 forum to przestało cieszyć się taką popularnością i zostało zamknięte. Tym sposobem zacząłem publikować treści wideo na YouTube.


FUNDUSZE NA DZIAŁANIE

Samodzielne zapoczątkowanie i prowadzenie kanału, tzn. bez zastrzyku funduszy od inwestorów, zaplecza technologicznego zapewnionego przez dowolne przedsiębiorstwo zajmujące się, chociażby sprzedaż
ub użyczeniu sprzętu zarówno do testów jak i do nagrań było bardzo trudne. Trudno mieć wiedzę w każdym aspekcie działalności na YouTube.

Z czasem oczywiście zaczęła pojawiać się pomoc ze strategią działania, czy przy tworzeniu miniatur oraz wszelkich grafik. W ostatnich latach do zespołu dołączyły też dwie osoby z bogatą wiedzą technologiczną, które mają niebagatelny wpływ na jakość merytoryczną oraz korekcję wszelkich nieprawidłowości. Zespół został wzbogacony również o osobę zajmującą się ostatecznym szlifem związanym z poprawnością języka polskiego po to, aby wielotygodniowe testy, opracowania i analizy nie traciły przez nieprawidłowości językowe. Choć zespół robi to z pasji do technologii, to z pasji nikt jeszcze zupy nie ugotował. Innymi słowy — każdy z nas zasługuje na wynagrodzenie za swój czas, swoją wiedzę oraz ekspertyzę. Jestem przekonany, że Ty Drogi czytelniku, również chciałbyś dostać wynagrodzenie za swoją ciężką pracę i poświęcony czas. Dlatego na YouTube widzicie czasem materiał, czasem sam blok sponsorowany. To pomaga sfinansować działalność, rozwijać ją oraz wynagrodzić czas zespołowi, ale jednocześnie dostarczać szczerych i wartościowych treści.

Propozycje współpracy nie biorą się z nieba, a z e-maila. Tak! E-mail to główny sposób komunikacji ze wszelkimi markami i sponsorami i tak jak wspomniałem. - na dłuższą metę niemożliwe jest prowadzenie kanału, który generuje tylko piętrzące się koszty. Chcąc dostarczać Wam ciekawych materiałów, porad, tutoriali, co jakiś czas musi być materiał sponsorowany, który umożliwi sfinansowanie tego wszystkiego. Inaczej się zwyczajnie nie da…


JEDNA FAJNA WSPÓŁPRACA na SETKI SCAMÓW

Każdy dzień rozpoczynam od skrupulatnego przejrzenia nowych wiadomości e-mail oraz oznaczania części jako próby wyłudzenia informacji. Dobowo jest takich  2 - 5, w porywach do piętnastu. Część z tych wiadomości jest skierowana do ogółu. Chociażby jak ta niżej. Wiele osób używa antywirusa Kaspersky, lecz jeśli klikniesz zielony przycisk bardzo możliwe, że w ciągu kilku minut stracisz cały dostęp do swojego konta Gmail. Trudne hasło, ani 2FA na nic się tu nie zdadzą. A taki przycisk łatwo kliknąć nawet niechcący…


Typowa próba oszustwa na znaną markę. Osoby mające antywirusa Kaspersky mogłyby bez większego zastanowienia kliknąć w zielony przycisk...

Druga część jest skierowana do Twórców na YouTube, ale wciąż dość losowa, miernie skomponowana oraz przychodzi z adresów / serwerów, które już z daleka wyglądają podejrzanie. Chociaż istnieje szansa, że nawet tak słabo wyglądające wiadomości pochodzą od prawdziwych, acz mało znanych producentów czy marek, które dopiero chcą zaistnieć na rynku. Jedynie PR / marketing u nich leży. Tutaj takich kilka przykładów:





Od wielu lat zgłaszam takie emaile, lecz nie widzę, aby czemuś to pomagało...

Jednak część wiadomości z oszustwami jest już lepiej przygotowana. Wyglądają one bardziej profesjonalnie niż wiele realnych współprac. W takich przypadkach organizacje odpowiadające za proceder potrafią zadbać o adresy czy wszelkie drobiazgi. Tak było w tym przypadku, na który naciąłem się ja:



Rainway Cloud SCAM

O Rainway już kiedyś słyszałem. Swego czasu nawet Linus z Linus Tech Tips stworzył dla nich materiał. Jest to usługa (zasadniczo była, o czym później) konkurująca z GeForce Now, czyli serwisem pozwalającym strumieniować rozgrywkę praktycznie na każdy sprzęt. Dla tych, co nie wiedzą, to taki serwis pozwala na granie w nasze tytuły z biblioteki Steam, Epic i innych na serwerze wyposażonym w mocniejsze układy graficzne. Sygnał z naszego kontrolera przekazywany jest do serwera, na którym gra rzeczywiście działa, a do nas wraca obraz. Rozwiązanie jest świetne, bowiem nawet na starym laptopie można grać w najnowsze tytuły delektując się ciszą, bez zbędnego obciążania sprzętu i z minimalnym poborem energii. Problemem tego rozwiązania jest input lag. Czyli mocno upraszczając — nim sygnał z naszego kontrolera dojdzie do serwera i wróci obraz, to mija kilkaset milisekund. Ogrywałem tak Wiedźmina 3 i przy tego typu produkcji jest całkiem OK. Ale szybkie strzelanki już kuleją. Nie zmienia to faktu, że moja partnerka wciąż woli grać w Fortnite przez taką właśnie usługę i nawet z odczuwalnym opóźnieniem często trafia do top 10. Jak sama twierdzi — jest cicho, nie musi włączać komputera, robić aktualizacji (jeśli często nie włączamy PC). Włącza przystawkę do TV, którą jest Nvidia Shield i już po kilku sekundach można się oderwać od codziennych zajęć.


PO CO ZAINTERESOWANIE SERWISEM?

Nie dane mi było jeszcze przetestować ostatnich kart NVIDII z serii 4000 Super. Lecz na dzień przed tym mailem nasłuchałem się w technologicznych podcastach o tym, jakim nowe karty są niewypałem… Niektóre z pokazanych modeli Super sprzedawały się najgorzej w historii i to nie bez powodu - NVIDIA wyskoczyła z odgrzewanym kotletem, mającym na celu wyciągnąć kolejne pieniądze od biednych graczy. RTX 4080 Super kosztuje między 5 000, a 6 000 zł. Konsola Xbox Series X poniżej 2 000. Z kolei nawet po podwyżkach serwis GeForce Now (https://play.geforcenow.com), który sam posiadam, to koszt 49 zł miesięcznie lub 99 za pakiet Ultimate. Nie wymaga super kompa, nie wymaga cudów na kiju. Jak ktoś chce, to nawet na smartfonie czy tablecie można grać w CyberPunka 2077… Próbowałem — działa! To chyba nie głupie, co? Gdybym przetestował serwis GeForce Now VS Rainway i gdyby ten był tańszy, zapewniałby podobne lub może nawet niższe opóźnienia, to mógłbym dostarczyć niesamowicie wartościowy materiał moim widzom! I tu już powoli ciekawość oraz wizja super materiału powodowały, że hamulce puszczały…


NO I KLIKNĄŁ LINK!?


Moi Drodzy! W link z maila NIGDY nie klikamy! No nie wiecie?! Więc nie… Ponad 8 lat prowadzenia kanału, dziesiątki tysięcy scamowych maili do mnie docierało, nigdy nie dałem się naciąć (nigdy nie mów nigdy). Więc jako odpowiedzialna osoba otworzyłem nową kartę w przeglądarce, wpisałem Rainway i na pierwszym wyniku z Google wyskoczyła strona, o której wspomina sam e-mail… Wszedłem. Piękna grafika, pokazówka jak to wygląda. No cudo… Mówię OK. Jak pobiorę klienta z tej oficjalnej strony, i jeśli będą w stanie mi dać, chociaż miesięczny pakiet na test, to chyba legit! (czyt. legalna, godna zaufania). Jednak nie, nie legit… Pobrany klient otworzył okno jak to, które wygląda jak oficjalny klient, lecz aplikacja ta zawierała malware przesyłając tym samym na serwer przestępców dane, które pozwoliły na przejęcie konta.

Jak się później okazało, strona nie była tą właściwą, oficjalną. Była jedynie jej kopią, lecz znajdującą się pod innym adresem. A czemu była pierwsza w wynikach Google? Bo włamywacze ją wypromowali, opłacili reklamę pieniędzmi pochodzącymi z przestępstwa i w zamian Google umieściło ją na szczycie moich wyników… Jest to proceder znany od dawna. Google broni się tym, że nie jest w stanie zweryfikować, czy dana strona zawiera niewłaściwe treści lub malware — jednak setki zgłoszeń wpływają i co? Przepadają chyba… Klient płaci za bycie pierwszym w wynikach wyszukiwania i tyle. Prawo UE z zakresu KYC (Know Your Client) mówi o tym, że firma pobierająca za daną usługę należność ma obowiązek dokonać wszelkich starań, aby zweryfikować, czy fundusze nie pochodzą z działalności przestępczej. No ale chyba jakoś to obeszli, skoro strona ma się doskonale.


PIERWSZA LINIA OBRONY — CZYNNIK LUDZKI

Nie zmienia to faktu, że w tym przypadku, na pierwszej linii zawiódł czynnik ludzki. Jesteśmy podatni na bodźce pochodzące z zewnątrz i wybiórcze ich procesowanie. Mając te same dane jednego dnia podejmiemy inną decyzję, niż dnia następnego. Mea culpa! Przyznaję się do błędu i niepodjęcia wyczerpujących kroków celem zweryfikowania legalności i bezpieczeństwa pierwszego adresu strony wyświetlanego przez Google. Zaufałem, że pierwszy, promowany wynik nie mógłby prowadzić do organizacji przestępczej…
Tu jednak muszę nadmienić, że strona serwisu jest/była na ten moment promowana w Irlandii. Wyszukując po nazwie z polski, strona z oszustwem już nie była na szczycie wyników. Tym samym przestępcy stworzyli targetowaną kampanię celując prawdopodobnie w anglojęzyczne kanały i odbiorców. Jednak co samo napłynęło, to trzeba było brać.


DRUGA LINIA OBRONY — LISTA BEZPIECZNYCH STRON i ANTYWIRUS

Pewnie po przejściu na jakiś adres zdarzyło się Wam zobaczyć taką stronę jak poniżej. Na podstawie skanerów i zgłoszeń przeglądarki dysponują listą niebezpiecznych do odwiedzenia stron. Tutaj tak nie było… Strona uznana jest za bezpieczną przez każdą, próbowaną przeze mnie później przeglądarką. Dodatkowo jej zabezpieczeniem zajmuje się znany wszystkim Cloudflare. Antywirus pracował aktywnie w tle i również nie wykrył żadnego podejrzanego działania. Program odpalił się i cały ruch został przepuszczony. Jedyne, do czego mogę mieć podejrzenia, to fakt, że AdGuard, którego również miałem aktywnego w tle, przez chwilę blokował połączenie z serwerem przestępców. Lecz na tym etapie mogę jedynie gdybać.

Takie ostrzeżenia zdecydowanie mogą pomóc. Szkoda tylko, że wciąż są rzadkością.


TRZECIA LINIA OBRONY — PO CO KOMU HASŁO I 2FA w GOOGLE?

Po co hasła, po co dwuetapowa weryfikacja, po co lista kodów, jak malware przepuszcza włamywaczy bez żadnych danych do przejęcia konta! Tak to wyglądało u mnie:


W momencie gdy zobaczyłem pierwszą wiadomość od razu zalogowałem się na konto i zacząłem działać.

Rozbijając segment czasowy:

13:28:01 - Weryfikacja dwuetapowa została wyłączona

13:28:26 - Nowe logowanie z urządzenia Windows

13:29:06 - Dodano numer telefonu do weryfikacji dwuetapowej

13:29:07 - Weryfikacja dwuetapowa została włączona

13:29:19 - Dodano numer telefonu do weryfikacji dwuetapowej

13:29:26 - Weryfikacja dwuetapowa została włączona

13:29:35 - Adres pomocniczy został zmieniony dla konta

13:29:39 - Usunięto numer telefonu z weryfikacji dwuetapowej (Mój pierwszy ruch)

13:29:39 - Pomocniczy numer telefonu został zmieniony

(W momencie gdy zobaczyłem pierwsze e-maile wpadłem na konto jeszcze sam mając aktywne ciasteczko i usunąłem ich numer na swój. Nie przyglądałem się, sesji nie nagrywałem, ale wiem, że był to numer UK, choć był to najprawdopodobniej numer wirtualny. Obydwa kliknięcia trwały mniej niż 1 sekundę)

13:29:49 - Wygenerowano kody zapasowe na potrzeby weryfikacji dwuetapowej

(Lecz jak widać, na nic się to  zdało. Gdy 10 sekund wcześniej odwróciłem 2FA na swój numer telefonu, oni wygenerowali nowe kody zapasowe jednocześnie sprawiając, że moje trzymane w bezpiecznym miejscu, wydrukowane kilka lat wcześniej stały się z miejsca bezużyteczne)

13:30:21 - Twoje hasło zostało zmienione

(Mając listę kodów, mogli bez problemu zmienić hasło do konta tym samym moja interwencja została już ucięta)

13:31:01 - Dodano numer telefonu do weryfikacji dwuetapowej

(Dodali ponownie swój numer telefonu)

13:31:45 - Usunięto numer telefonu z weryfikacji dwuetapowej

(Wyrzucili mój)

13:32:15 - Twoje hasło zostało zmienione

(Nie wiem, po co kolejna zmiana hasła. Mogę jedynie przypuszczać, że zdenerwował ich fakt, że do momentu 13:31:01 nie wiedzieli, że i ja działam w tle odwracając ich poczynania)

13:33:08 - Twoje hasło zostało zmienione
(wątpię, aby kolejna zmiana hasła wynikała z ich paniki, raczej z dmuchania na zimne)

13:33:09 - Witaj ponownie na swoim koncie

(Lecz, nie było to już moje konto)


Jak widzicie, cały proceder trwałby około 90 sekund. Jedynie moje psocenie spowodowało komplikacje i wydłużenie całej operacji. W międzyczasie wyrzuciłem sesję ze wszystkich urządzeń, lecz nie ma o tym wpisu ze zdarzenia, tym samym mogę jedynie przypuszczać, że w momencie kliknięcia pozbawiony zostałem już dostępu. Jednak niczego by to nie zmieniło. Wyrzucając wszystkie aktywne sesje wyrzuciłbym ich, jak i siebie. A skoro włamywacze dezaktywowali moje kody zapasowe, to przy użyciu nowych, odzyskanie konta nie stanowiłoby problemu…

Mimo to albo Google próbowało jeszcze wyrwać z ich rąk konto, albo włamywacze poczuli się niepewnie. Bowiem po dwóch dniach od odzyskania konta wygrzebałem wpisy sugerujące, że ich działania zaczęły robić się chaotyczne. Kolejne logowania z 8-cyfrowym kodem zapasowym, nowe logowania, znowu kod, jakiś iPhone. Konto ponownie wyłączone, znowu odzyskane, hasło zmienione… Sporo tego, gdy ja już zostałem całkowicie odcięty. Wygląda to na lekką panikę.


Powiadomienia z google już po odzyskaniu dostępu do konta.

W kolejnym artykule, do którego link zamieszczam TUTAJ, opisuję dokładnie co należy zrobić, aby takie konto sprawnie i szybko odzyskać. Mnie zajęło to aż 48 godzin… Lecz z wiedzą, którą mam teraz trwałoby to o wiele, wiele krócej.



CZWARTA LINIA OBRONY — GOOGLE! WIESZ O MNIE WSZYSTKO. POWIEDZ, ŻE TYLKO UDAJESZ TAKIEGO GŁUPIEGO!?!


Spróbujmy odpowiedzieć sobie na jedno pytanie — co tu się w ogóle odwaliło!? Tak! Ja wiem, czynnik ludzki zawiódł, trele-morele… Ale hola hola! Google wie o nas przecież wszystko! Wie, że jesteś teraz w domu przy swoim komputerze lub telefonie. GPS jest włączony, znają Twoją dokładną lokalizację. Widzą jak od lat logujesz się z tej lokalizacji, z tych urządzeń, z tych samych sieci mobilnych i WiFi. Wiele lat temu świat usłyszał o tym, jak Amazon nachalnie promował nastolatce sprzęt dla niemowląt. Jak się okazało, była ona w ciąży sama jeszcze o tym nie wiedząc. Na podstawie jej zachowań w sieci i wyszukiwań Amazon uznał, że dziewczyna musi być w ciąży i słusznie zgadł! Skoro Google kolekcjonuje każde odwiedzone przez nas miejsce, prędkość, z jaką się poruszamy, wszystkie nasze wyszukiwania, języki, które rozumiemy, których nie rozumiemy i miliony innych parametrów, to nie mogło wydedukować, że ja, Paweł, tego dnia w tym momencie siedząc w swoim domu, ze swoim telefonem z aktywnym GPS wraz z desktopowym PC, również z aktywną lokalizacją nie mogłem być sekundę później 8 000 km dalej?!

Google to firma myśląca o przyszłości, i chyba są zdania, że teleportacja już działa! Innego wytłumaczenia nie widzę. Jak do tego doszło, że osoba logująca się z tak daleka, z IP, koło którego nawet palcem na mapie nie stałem, dostaje pełną kontrolę? Google pozwala włamywaczowi zdjąć wszystkie zabezpieczenia i przypisać nowe? Może przy zmianie haseł czy wyłącznie 2FA wypadałoby porównać adresy IP / lokalizację i jeśli coś takiego się wyczynia, to dokonane powinno być chwilowe zamrożenia konta, na - ja wiem - … 24 godziny, może z prośbą wyjaśnienia? Jednoczesne zalogowanie na konto po dwóch stronach globu powinno wyzwolić alert i jakąś formy blokadę, co nie? Taką, którą nie daje zmienić hasła nowemu, świeżo zalogowanemu urządzeniu z miejsca, w którym nigdy wcześniej się nie logowaliśmy.


PROBLEM DOTYKA TEŻ CIEBIE?


Możesz pomyśleć, że spoko! Przykra sprawa, ale Tobie się nigdy nie zdarzy… Tylko czy na pewno? Czy po zainstalowaniu świeżego systemu nie pobierałeś nigdy Afterburnera, HWiNFO, 7-zipa, oprogramowania do myszki, słuchawek, klawiatury czy innych akcesoriów? Może ten program do zarządzania LEDami ze strony Asusa, MSI czy Corsair… Tylko skąd masz pewność, że była to ta prawdziwa strona, a nie jej wierna kopia, którą Google podpowiedziało Ci na górze wyniku w zamian za przyjęte wynagrodzenie monetarne?

Akurat o Afterburnerze wiemy — wiele osób się na niego złapało, ba! Dalej łapie! Jeden z moich widzów również. Akurat z nim rozmawiałem w czasie, gdy moje konto było wyłączone. Było dokładnie tak samo. Używał Afterburner’a od lat. Postawił system na nowo. Tyle programów do instalacji, to szybko Afterburner do wyszukiwarki, pierwszy wynik i bam! Konta już nie było… Kolejną ciekawostką jest to, że kradzieży może dokonać jakikolwiek z dodatków zainstalowanych do przeglądarki. Dlatego sprawdzajcie dokładnie jakie dodatki instalujecie i miejcie nadzieję, aby  nikt ich nie przejął. Reasumując ten paragraf — ucieczka jest praktycznie niemożliwa. Przezorność wskazana, ale do niej potrzeba też odrobiny szczęścia, że na nas nie trafi i ewentualne, dodatkowe zabezpieczenie, o którym trochę dalej.


JEŚLI TO SIĘ WYDARZY, TO CO CI GROZI?
Jeżeli i Ty padniesz ofiarą podobnego działania, to musisz zdawać sobie sprawę z problemów, które taki atak niesie. Tu nawet nie chodzi o kradzież kanału i możliwość straty wielu lat ciężkiej pracy, ale dla wielu osób konto na Google jest tym podstawowym. Tym do którego mają przypisane odzyskiwanie hasła do każdego innego konta. Konto w banku, na Revolut, na PayPal, na Steam, Allegro, w urzędzie podatkowym. A czy używałeś/aś zapisywanie haseł w przeglądarce Chrome? Jeśli tak, to napastnicy mają wszystkie Twoje hasła! Numery telefonów, adresy każdego z książki. Google Drive, masz tam coś? No to mają i oni… Pamiętaj, że telefon z androidem domyślnie przesyła do google wszystkie zrobione zdjęcia. Kasujesz je z telefonu, ale tam jeszcze zostają miesiąc. Dokumenty, arkusze z Google Docs. Nawet jeśli zatrzymasz atak po godzinie, czy dwóch, to bardzo możliwe, że napastnicy skorzystali z opcji Google Takeout — która po przyciśnięciu klawisza myszki pakuje wszystkie dane z konta. Czyli odwiedzane przez Ciebie miejsca z GPS z dokładnym czasem z ostatnich lat, to co jest na GDrive, mailami, załącznikami i wszystkim, co zostało zgromadzone na koncie przez wszystkie lata używania. Pytanie tylko, czy komuś będzie się chciało wykorzystać te dane przeciwko Tobie?



JAK SIĘ PRZED TYM ZABEZPIECZYĆ


Jedynym skutecznie działającym sposobem jest wyłączenie komputera i zamieszkanie w lesie. Jakkolwiek banalnie by to nie brzmiało, to nie ma zabezpieczenia stuprocentowego. Są jedynie sposoby trudniejsze do obejścia. Takim niby powinny być fizyczne klucze, jak te, od Yubikey. Ja zakupiłem dwa. Jeden malutki na USB-C, który można schować w bezpieczne miejsce https://bit.ly/3I4aEkJ, oraz drugi, który może być na widoku bowiem aby w ogóle go odblokować, potrzeba dodatkowej biometrycznej weryfikacji - https://bit.ly/49JhZ5b. Nawet jeśli taki klucz wpadnie w niepowołane ręce, to kolejnym zabezpieczeniem jest sam fakt, że potrzeba naszego odcisku palca. Jednak… Takie klucze wciąż nie chronią przed malware, nie chronią też przed kradzieżą ciasteczek z przeglądarki, ani zalogowaniem się na Twoje konto. Jedyne, przed czym mają chronić to to, że nie da się tego zabezpieczenia już zdjąć z konta, a tym samym włamywacze nie mogą zmienić już wszystkich danych i możesz ich wyrzucić w każdym momencie. Przynajmniej tak twierdzi internet. [EDIT - zobacz mój komentarz poniżej]

Kolejnym sposobem na uniknięcie porwania konta jest dobry antywirus… Mój niestety całkowicie zawiódł na tym polu. Nie ostrzegł o niebezpiecznej stronie, pozwolił pobrać i otworzyć plik, co dobitnie rozczarowało w tym przypadku. Za poleceniem innych YouTuber’ów postanowiłem spróbować BitDefender'a, który — jak widać po poniższym screenie bez kłopotu rozpoznaje niebezpieczeństwo! Jeśli prowadzisz swój kanał na YT, to raczej nie sposób przecenić wartość takiej ochrony. Nawet dla zwykłych, codziennych użytkowników z kontem Google, na którym przecież trzymamy tak wiele poufnych danych, uważam, że jest to niski koszt zabezpieczenia. Bitdefender ma też 30-dniową wersję próbną. Sam spróbowałem i cóż… Wygląda na to, że przy nim pozostanę na dłużej. Nawet ta najtańsza opcja, dla 3 urządzeń spokojnie wystarcza i do włamania mogło wcale nie dojść. Tutaj link jeśli chcecie zobaczyć aktualne ceny - https://bit.ly/BitDefender_TMHD.





KTO I ILE NA TYM ZAROBIŁ?!


Nikt nie jest w stanie określić dokładnej kwoty wynagrodzenia za atak przeprowadzony na mój kanał, lecz na podstawie identycznej akcji na twórcę mającego około 15 mln subskrybentów portfel porywaczy wzrósł o kwotę 14 000 USD. Jeśli wynagrodzenie jest liniowe, to za kanał TechManiacHD otrzymano około 190 dolarów. Jednak bardzo wątpię, aby ta wartość była liniowa. Inaczej nieopłacalnym by było zadawanie sobie trudu w porywaniu małych, dopiero co początkujących kanałów mających kilka, do kilkunastu tysięcy — a jednak zdarza się to wielokrotnie każdego dnia. Chociaż musimy pamiętać o tym, że nawet jeśli było to $190, czy może nawet $600, to jest wiele krajów, w których żyje się za mniej niż 1 USD dziennie. Porywając 3-5 kanałów dziennie można żyć na bardzo dobrym poziomie.


ILE JEST TAKICH ATAKÓW?


Wystarczy prześledzić portal Twitter (@TeamYouTube), który stanowi koło ratunkowe dla zaatakowanych kont. Co kilka, kilkanaście minut zgłaszają się tam kolejne osoby proszące o pomoc, które padły ofiarą tego typu przestępstwa. Bez hasła, telefonu czy dostępu do 2FA małe i duże kanały w ciągu kilku minut trafiają w ręce porywaczy.


Screenshot wykonany w czasie, gdy sam czekałem na odpowiedź z TeamYouTube

Listę można przewijać bez końca... Kolejne konta YouTuber'ów kraodzine są co kilka minut.

Nie sposób powiedzieć z iloma grupami mamy do czynienia, ale skoro kanały YouTube ze znaczącą pulą odbiorców są „podprowadzane” z taką częstotliwością, to jak często kradzione są konta normalnych użytkowników? Celem atakujących jest puszczenie transmisji na żywo o bitcoin. Smutne jest to, że jeśli teraz wejdziesz na YouTube i wpiszesz „Bitcoin”, przejdziesz do transmisji na żywo, to zobaczysz, że kilka, lub kilkanaście takich zawsze odtwarzane jest właśnie na skradzionych kontach. Nie ważne jaki dzień tygodnia, o której godzinie, ale mniejsze i większe kanały, które ze scamem nie mają niczego wspólnego, są właśnie w tym momencie ofiarą.

Transmisje trwają zwykle od 20 do 40 minut, po czym użytkownicy to oglądający zgłaszają oszustwo i kanał jest zdejmowany. Poniżej widzicie aktualne dwa streamy, które były puszczone zapewne przez tych samych porywaczy, którzy zagarnęli kanał TMHD. W pierwszym nie zmienili jeszcze nazwy kanału, w drugim już tak. TechManiacHD również został przemianowany na MicroStrategy… Chwilę później obrazek kanału też został u mnie zmieniony.

Porwanie konta w toku. Tutaj widzimy przejęty kanał YouTube https://www.youtube.com/@rnqqU jeszcze przed zmianą nazwy i ikony.

Inny kanał, któremu napastnicy zmienili nazwę na tę samą, którą ustawili u mnie. Ikona została zmieniona dopiero po chwili.

Jeśli to przeczytałeś/aś, to powiedz, jakie mamy szanse nie być wpuszczeni w maliny i dlaczego Google, choć wie o tym od dawna, jakoś nic z tym nie robi... Czekam na Wasze komentarze poniżej.

13 komentarzy:

Anonimowy pisze...

Myślę, że może gdyby zostali ukarani za brak kontroli opłacanych pozycjonowań to by przejżeli na oczy.
Druga kwestia to kontrola logowania z innego IP i zakątka świata plus niemożność zmiany hasła z urządzenia które jest krócej niż 24h na koncie.
Łączę sie w bólu i pozdrawiam :)

TechManiacHD pisze...

Jest to jak najbardziej spory problem, ale tam, gdzie nie będą płacić kar, a tylko zyskiwać to nie mają motywacji, aby cokolwiek z tym zmienić.

W wielu firmach nie da się zalogować z ciasteczkiem z innego IP bez ponownego wpisywania danych logowania. Jednak Google, jak i sam YouTube ma być bardzo przystępny. Bierzesz urządzenie, do którego nie logowałeś się od 3 lat i też zadziała. Tak samo jak oglądasz YouTube na danych komórkowych, wchodzisz do domu i przełącza się na wi-fi. Oglądasz dalej... Gdyby prosiło znowu o dane, wiele osób przeszłoby na oglądanie czegoś indziej na czymś innym.

Anonimowy pisze...

Dzięki za opisanie tego procederu, daję do myślenia - pozostaje mieć nadzieje, że google się ogarnie. W sumie na ulicy możesz w każdej chwili być zaatakowany tak samo i w necie.

Anonimowy pisze...

Świetny artykuł. Mimo że śledzę różne profile/strony o tematyce bezpieczeństwa, to mogę powiedzieć że Twoja historia naprawdę daje do myślenia, nawet zaawansowanym użytkownikom. Sugeruję wysłać linki z tymi artykułami do Niebezpiecznika, Sekuraka i innych serwisów o bezpieczeństwie, bo to naprawdę daje do myślenia. Pozdrawiam

TechManiacHD pisze...

Jeśli chcesz, to jak najbardziej możesz tam podesłać mój artykuł. Myślę, że są to specjaliści w tym zakresie, więc może mieliby jakieś dodatkowe porady.

TechManiacHD pisze...

🔑 *** YubiKey *** 🔑
AKTUALIZACJA SPRAWY na dzień 03/03/2024

Niestety mam złe wieści! Google pozwala ot, tak usunąć przypisane klucze YubiKey do konta bez żądania o potwierdzenie, że jest się w ich posiadaniu.

Nawet usuwając wszystkie pozostałe sposoby MFA i zostawiając jedynie klucz/klucze YubiKey na zalogowanej sesji, która jest przecież wykradana przy pomocy malware, włamywacz wchodzi w ustawienia konta, usuwa kluczyki klikając w krzyżyk tuż obok nich i tyle z zabezpieczenia! 😡🤦‍♂️ Ustawia MFA na swój telefon i wtedy może zmienić hasło. Google prosi o podanie starego hasła, lecz wybieramy opcję poniżej "użyj innego sposobu na potwierdzenie tożsamości", którym jest nowo dodany telefon i tym niezwykle prostym sposobem obchodzi się te pseudo "zabezpieczenia" 😵

Najsmutniejsze jest to, że właśnie tym sposobem, kilka razy dałem przejąć swoje testowe konto znajomemu, który przebywał w Polsce. Wszedł on na konto, wyrzucił klucze, zmienił numer telefonu na swój, wyrzucił mój adres pomocniczy i zmienił hasło. Ja przebywałem w Irlandii, a klucze nie były wsadzone do USB i leżały tuż przy mnie.

YubiKey to oczywiście cudowne zabezpieczenie i winę tu ponosi Google. Sparowałem klucze z innymi serwisami, których używam — managerem hasłem oraz innymi platformami finansowymi. Tam nie da się ot, tak "kliknąć krzyżyka" aby je wyrzucić, a przy ich wyrzuceniu platforma prosi o wsadzenie klucza do USB oraz jego dotknięcie — czy nie jest to OCZYWISTE?!

Po kilku dniach testowania muszę też przyznać, że YubiKey jest upierdliwe, chociażby dlatego, że nie mogę wejść na swoje konta na starszych smartfonach wyposażonych w Micro USB. Jedno z moich YubiKey jest na USB-C, drugie na USB-A i byłem przekonany, że stosując przejściówkę MicroUSB do USB-A, to klucz zadziała. Niestety nie... Nie jest odnajdywany, chociaż sama przejściówka działa bez problemu. W rezultacie Ty jako użytkownik musisz pamiętać, aby zawsze mieć klucz ze sobą. Jadąc na wakacje itd... Poświęcenie swojego komfortu przy logowaniu oraz dodatkowy koszt ma oczywiście sens zakładając, że robimy to w celu zwiększenia bezpieczeństwa. Niestety w przypadku konta Google klucz nie zmienia niczego.

Anonimowy pisze...

Też dałem się złapać parę tygodni temu na zmodyfikowany plik ISO. Wynikiem była częściowa utrata kontroli nad kontem Google i Steam (a później próby włamania na konto Microsoft). Głównym celem było konto steam, bo z niego ktoś sprzedawał/kupował przedmioty do gier za małe sumy, podpiął też do tego konta profil na jakiejś ruskiej stronie do handlu przedmiotami w DotA2 (proste przerzucanie funduszy, jakieś wystawianie opinii dla społeczności za punkty steam i rozsyłanie spamu do znajomych, ale tam to juz steam dawał ostrzeżenie, że w tej wiadomości coś jest nie tak). Logowanie dwuskładnikowe ani logowanie aplikacją steamguard nic nie dało, bo malware podkradło mi z kompa aktywne zalogowane sesje (jakieś sprawdzanie geolokalizacji już by pomogło w takiej sprawie), dopiero odłączenie zalogowanych urządzeń przyniosło efekty. Google ani Steam nie zwrócił uwagi, że nagle logowanie ma miejsce z lokalizacji "Zelenograd, Rosja". Po krótkim śledztwie i skanie za pomocą MalwareBytes (14-dniowa wersja) namierzyłem źródło infekcji. Po wyczyszczeniu kompa obadałem co mnie zainfekowało - syf, który jest wykrywany przez tylko część antywirów... Przynajmniej wszędzie sobie hasła pozmieniałem i pouzupełniałem dwuskładnikowe logowanie tam, gdzie jeszcze nie miałem.

TechManiacHD pisze...

Do konta Microsoft chyba każdy ma ciągłe próby logowania. Znajomi, którzy jeszcze nie padli takiemu atakowi mają codziennie próby logowania z Niemiec, Chin i USA.
Co do Steam, to straszna lipa :/

Anonimowy pisze...

Jak to się stało, że ukradli Ci tylko konto kanału YouTube? Na tym komputerze nie byłeś zalogowany na swojego prywatnego maila?

TechManiacHD pisze...

Na komputerze byłem, ale do prywatnych kont używam innej przeglądarki.

Anonimowy pisze...

"Pobrany klient otworzył okno jak to, które wygląda jak oficjalny klient, lecz aplikacja ta zawierała malware przesyłając tym samym na serwer przestępców dane, które pozwoliły na przejęcie konta."
Wiesz może, jakie to były dane? Czy to były dane wykradzione z przeglądarki - hasło zapisane w przeglądarce lub ciasteczko? Czy była to raczej strona logowania która wymagała wpisania loginu i hasła googla?
Pytam, ponieważ na podstawie opisu nie do końca rozumiem mechanizm ataku.

TechManiacHD pisze...

Nie wiem jakie to były dane. Niczego w tym oknie nawet nie wpisywałem. Miałem dwie przeglądarki otwarte. Edge i Opera. Wykradli tylko to, co było w Operze zalogowane na techmaniachd. Prywatnego nikt nie ruszył.

Anonimowy pisze...

Też się kiedyś naciąłem na jakiś instalator jakiejś gierki, niby atak zablokowany przez Malwarebytes, a za chwilę miałem dodatkowy serwer na discordzie (przejęty discord token i prawdopodobnie hasła z przeglądarek). Na 1 koncie discord było aktywnych 2 użytkowników. Jak wywaliłem nieznany serwer zaraz wrócił, próbował nawet pisać do kolegi (po angielsku). Udało mi się ogarnąć zmianę hasła na discordzie i potem zmieniałem hasła do każdej strony, emaila etc. Po miesiącu znajduję informację, że ktoś próbował zalogować się na moje konto na jakiejś stronie (na której nie miałem 2FA, a nie wiedziałem, że strona takie coś miała). Co ciekawe strona zablokowała logowanie z innego kraju, więc konta nie straciłem, ale od razu ogarnąłem dodanie 2FA.
Dodam tylko, że wirus ukrył się w AppData\Local\ jako folder GoogleTools\jre\bin\javaw[.]exe
Co do discorda, to czytałem, że podobno hakerzy/oszuści potrafią stworzyć jakiegoś discord grabber tokena, który bierze jakieś dane +aktywną sesję discorda i jest wysyłany przez webhooki czy jakoś tak. Czym dokładnie jest ten webhook?

Prześlij komentarz