Google警告YouTuber小心以商业合作为诱饵的网钓攻击

YouTuber已成钓鱼信件首要的攻击目标之一。Google指出，不法集团锁定YouTuber发送以商业合作为名目的钓鱼信件，并发动“pass-the-cookie”手法攻击，旨在劫持YouTube频道，单单今年5月来，该公司已经封锁了160万此类钓鱼信件。

Google威胁分析小组（Google Threat Analysis）自2019年底起，侦测到针对YouTuber发动、以金钱为目的的钓鱼信件攻击。近日一群在俄语论坛上召募而成的骇客，向YouTuber发送信件谎称有商业合作机会，例如示范防毒软件、VPN、音乐播放软件、相片编辑或线上游戏，以提高受害者上当概率。

骇客主要是引诱YouTuber连到恶意网站以下载恶意软件。不肖人士先搜集YouTuber在频道上显示的电子邮件，再以假账号发送造假的公司及产品介绍钓鱼信件以寻求合作。等YouTuber同意合作后，再传送含有恶意连结的电子邮件、Google Drive PDF档案或Google文件，将YouTuber导向恶意网站以下载所谓的“试用软件”。

受害YouTuber下载的软件，其实是用以发动“Cookie窃取”或称“pass the cookie”攻击的恶意软件。一旦下载到电脑，就会在受害者电脑上搜集储存在浏览器内cookies，目的在存取并劫持YouTuber的YouTube账号及频道。

许多被劫持的YouTube频道，网站元素包括名称、图片、内容都会被变更成加密货币诈骗串流频道。攻击者播放串流影片，以赠送加密货币为饵向广大用户吸金。研究人员指出，在账号交易市场，劫持YouTube频道视订阅户数量而定，兜售价格从3美元一直到4,000美元不等。

Google研究人员Ashley Shen指出，pass the cookie攻击已经存在数十年，但最近又再度活跃。可能是因为多因素验证（MfA）的安全措施使用日愈普及，迫使攻击者转用社交工程，以钓鱼信件来提高攻击成功率。

Google侦测到这波攻击中约有1.5万个假账号，被用来发送钓鱼信件或文件，此外，他们也辨识出至少有1000多个网域为此设立，以假冒公司网站及下载恶意软件。遭到冒充的公司包括Luminar、Cisco、Steam等。

而用于Cookie窃取的工具许多可在GitHub上免费下载，也有一些可购得的工具，包括RedLine、Vidar、Predator The Thief、Nexus stealer、Azorult、Raccoon、Grand Stealer、Vikro Stealer、Masad、Kantal。

Google旗下YouTube、Gmail、网络犯罪调查部门、安全上网技术部门联手合作，今年5月以来，已封锁了160万封此类讯息及2,400多个恶意档案、显示近6.2万次钓鱼网页警告，并回复将近4,000个被劫持的YouTube账号。

研究人员提醒用户应留意是否有恶意网站的警告讯息、执行软件前都应先扫毒、小心下载的档案是否为加密压缩档（因为防毒软件无法扫描）、并启用双因素验证，以免连到了钓鱼网站。