YouTube 发现另一波使用数据窃取软件的欺诈视频

3 月 13 日研究人员 网络安全 宣布大规模激增 200-300% 视频包含 链接到可以窃取敏感数据的恶意软件。

网络安全公司 CloudSEK 表示，YouTube 是一个受欢迎的平台，每月活跃用户超过 25 亿，这使其很容易成为攻击者的目标。 这些恶意软件被称为 Infostealers，通过下载、虚假网站和 YouTube 教程进行分发，渗透系统并窃取敏感信息，然后上传到攻击者控制的服务器。

CloudSEK 研究员 Pawan Karthik 表示：“有一种令人担忧的趋势，即攻击者现在正在使用 AI 生成的视频，而 YouTube 已成为分发这些视频的便捷平台。” 研究发现，每小时有 5 到 10 个带有恶意链接的视频被上传到 YouTube。 它们包含导致下载恶意软件的欺骗性技巧，使 YouTube 的算法更难检测和删除。

研究人员在 2022 年 11 月的 YouTube 视频中发现了窃取恶意软件，例如 Vidar、RedLine 和 Raccoon。 他们可以窃取密码、信用卡信息、银行帐号和其他敏感数据。 报告称，这些视频伪装成教程，介绍如何下载 Adob​​e Photoshop、Premiere Pro、Autodesk 3ds Max、AutoCAD 和其他仅供付费用户使用的授权软件的破解版。 攻击者还添加虚假评论以使视频合法化。 卡巴斯基实验室 告诉如何识别以及如何保护自己免受此类欺诈。

这个 YouTube 骗局是如何运作的

该方案非常简单。 首先，攻击者创建一个新的 YouTube 帐户，更改头像和频道名称，伪装成当红的 YouTube 明星。 这很容易做到，因为平台允许用户设置任何名称 渠道， 不管他的名字 帐户.

然后骗子群发好友请求，可以发送给平台的任何用户。 他们甚至懒得将任何内容上传到假频道——反正在好友请求中也看不到。 对于很多明星粉丝来说，一个有辨识度的名字和头像就足以毫不犹豫地接受这样的要求。 最后一步是撰写并发送诱人的个人信息。

目前，该方案用于欺骗说英语的 YouTube 用户。 但是，俄罗斯网络诈骗者很可能也会很快掌握它 – 大规模欺骗非常简单方便。

离婚的意义何在？

使用此方案，攻击者可以用一块石头杀死两只鸟。 他们使用简单的网络钓鱼消息来获取您的个人详细信息并在此过程中赚取额外的钱。 他们的消息总是包含一个链接，点击该链接您可能会收到奖品。 该链接指向一个看起来像官方网站的假网站。 它会要求您输入您的联系方式和个人详细信息，这些信息将落入骗子之手。 但这还没有结束。 您将需要“验证您不是机器人”并进行调查——当然，也是假的。

如果您同意，您将被发送到另一个站点，然后是第三个站点，依此类推。 这就是攻击者通过将流量转发到客户组织的网页来从您身上赚钱的方式。 当您点击这些链接时，您不仅要冒着进入提供可疑商品和服务的网站的风险，而且还要冒着选择勒索软件或银行木马等风险。

根据 研究由 RiskIQ 专家进行的调查显示，至少有数万名 YouTube 用户已经成为这种欺诈计划的受害者——攻击者设法将他们引诱到虚假网站。 同时，作者自己也承认，他们引用的数字并不能反映整个灾难的规模，可能还有更多的受害者。

如何保护自己免受 YouTube 上的网上诱骗：

• 如果你不认识的人想加你为好友或给你发私信，你要提高警惕，即使他是冒充明星。 找出发件人的真实身份。 检查频道是否被标记为官方（频道名称旁边的灰色复选标记），并明智地评估消息的内容。
• 不要将您的个人信息留在您从 YouTube 消息中点击链接的网站上。 如果报价看起来好得令人难以置信，那么您几乎可以肯定是被骗了。
• 使用可靠的防病毒解决方案，当您单击导致网络钓鱼或其他恶意网页的链接时，该解决方案会提醒您。

Source link