谷歌推翻了YouTube网络钓鱼威胁的规模
YouTube的所有者谷歌推迟了在较高调影响者的报告之后,视频平台上最多可占目标的网络钓鱼活动的危险可能导致受害者下降2300万用户账户 - 许多但并非所有这些都是活跃的在线汽车调整和修改社区 - 将其账户受到损害。
首次报道9月23日,网络钓鱼活动将其受害者诱导欺诈谷歌登录页面以收获账户凭据,使攻击者能够获得访问并接管目标账户,为他们提供新的所有者并使其成为合法的所有者来看频道被关闭。
还有建议攻击绕过双因素身份验证(2FA),可能使用称为ModlishKA的工具包,其可以拦截作为2FA服务的一部分发送的SMS消息。
揭露该攻击的研究人员建议,负责人可能从受损的用户数据库工作。
然而,Youtube显然是迄今为止,没有公司证据表明,那些遭到破坏的账户,这些账户在攻击之上和超出通常看的人之外的飙车的飙车。它也没有觉得需要向所有涉嫌易受攻击的账户发出安全检查。
“我们还没有看到周末遭遇黑客尝试的证据。我们在检测到可疑活动时,非常认真地认真对待帐户安全性并定期通知用户。我们鼓励用户作为谷歌账户安全检查的一部分,使双因素身份验证能够降低黑客攻击的风险,“YouTube发言人表示。
“如果用户有理由相信他们的帐户受到损害,他们可以通知我们的团队确保账户并重新获得控制权。”
与大多数社交媒体平台一样,YouTube拥有专门的员工团队,设置劫持帐户报告,以帮助合法的所有者重新恢复对其帐户的控制。
jonathan knudsen是Synopsys的高级安全战略师,建议攻击YouTube平台的最终用户的焦点表明,谷歌实际上在保护它时做得很好。
“使用安全测试工具,使用静态分析,软件成分分析和模糊测试等安全开发实践,将建立更强大,更安全的系统和应用程序,”他说。“因此,攻击者将专注于最弱的区域,通常是与系统的用户互动。”
“最近对YouTube的网络钓鱼攻击是一个经典计划的升级,其中用户被诱导到虚假登录页面,他们进入合法凭证,”Knudsen说。“网络罪犯总是在寻找网络安全保护宝贵资产的最薄弱的联系;在这种情况下,它是用户。反对这种攻击的最佳主动防御是教育。具有正确的知识,更少的用户将使受害者成为这些攻击。“
Nudata Security的客户交付总监Rosemary O'Neill,这是更广泛万事达卡组织的一部分:“到目前为止,攻击的最终目标是未知的,然而,随着许多帐户所有者无法访问其个人资料,它清楚地扰乱了服务。
“尚不清楚他们是否被货币破坏,或者如果最终目标只是为了攻击这些影响者,”她说。“受害者是影响者的事实可能意味着攻击者正在寻找媒体外联;什么都不像一个影响者让你的攻击很受欢迎。“
“像YouTube这样的公司需要更好的工具来保护他们的用户可以减少攻击的机会,”奥尼尔说。“双重认证是不够的,因为据报道,攻击者使用像ModlichKA这样的工具来拦截短信代码。在这种情况下,对用户凭据的依赖是主要认证差距 - 无论是密码,安全问题还是一次性代码。那些需要确定性的静态凭证;它们是正确的,或者它们不是 - 没有灰色区域。“
Cyber Arone in的首席安全官Sam Curry重申了对消费者普遍认为的建议,以保护自己免受这种攻击。
“最好的建议是始终直接跟进发件人,如果要求将货币或敏感文件转移到非日常账户或人员,”他说。“如果它似乎不对,它可能不是,并拿起电话或发短信给同事或朋友可以阻止黑客在他们的轨道上。”
Curry还建议YouTubers不打开附件或从未知发件人的链接关注 - 即使它们似乎是粉丝,也不遵循询问他们订阅的服务的凭据的链接,并安装扩展缩短链接的浏览器插件,以便他们可以看到正在发送实际的Web地址。