Seleziona una pagina

Le notifiche su smartphone sono la nuova frontiera del phishing

Gli account YouTube (ma non solo) dei content creator sono entrati nel mirino dei cracker

dal Team Humans
for Cybersecurity

pubblicato il 07/09/2022

#Cybersecurity  #Phishing #Hacker

Tempo di lettura: 5 minuti

Youtubers:

come evitare la ripresa dei cyberattacchi.

Il nuovo pericolo delle notifiche

La miglior cura, come si dice, è la prevenzione

Questo principio non vale solo per la salute ma per tutto ciò che ci sta a cuore, dall’ambiente al denaro e dalla criminalità ai nostri dati che vivono nell’infosfera.
Chiunque dovrebbe avere a cuore la Cyber Hygiene, quell’insieme di pratiche quotidiane atte a proteggere e preservare i propri e gli altrui dati nel mondo digitale: dall’evitare di cliccare su link di dubbia provenienza al proteggere adeguatamente le proprie password e credenziali da occhi indiscreti, fino alla più elementare delle misure di prevenzione, ovvero il backup di tutti i dati personali e di lavoro (backup multiplo su diversi dispositivi, se possibile) da eseguire con cadenza frequente

Questo però, come ben sanno gli esperti di cybersicurezza, non esclude completamente il rischio di cadere vittima di attacchi: anche con i migliori antivirus una distrazione può fornire un pericoloso lasciapassare per software malevoli o cracker (hacker malintenzionati).

Occhio alle notifiche

Ora i social engineer interessati ad esfiltrare dati e credenziali hanno un nuovo asso nella manica: le notifiche tramite smartphone.

Vediamo in dettaglio cosa sta succedendo di nuovo: per ora riguarda numerosi content creator che pubblicano su YouTube e altre piattaforme, ma presto il rischio potrebbe riguardare ognuno di noi.

Creator di alto calibro, tra cui esperti e divulgatori in ambito cyber, sono stati vittima di questa nuova tipologia di attacco phishing, che nel peggiore dei casi porta a conseguenze come la cancellazione del canale.

La vittima riceve una notifica sullo smartphone contenente un avviso di condivisione tramite Google Doc relativo ad un report che li avvisa dell’imminente sospensione del loro account YouTube per violazione di norme della community. La notifica porta alla lettura di un messaggio email contenente un documento PDF, ma si tratta, ovviamente, di una mera esca con tanto di dettagli su quale dei suoi video avrebbe creato la presunta violazione. Il messaggio, facciamo notare, non è stato però contrassegnato come spam in quanto il mittente è un servizio legittimo di Google per la condivisione dei documenti.

Le parole di questo report inducono nel destinatario un senso di urgenza, di pericolo e di invito rapido all’azione che lo porta a leggere il presunto “report sulla violazione”. Un link opportunamente nascosto dentro il PDF porterà al download di un pacchetto compresso contenente il malware camuffato da documento word (si tratta, in realtà, di un file eseguibile).

Come documenta il ricercatore di cybersecurity John Hammond (anch’egli vittima dell’attacco su YouTube), l’eseguibile altro non è che una versione del malware chiamato RedLine, un information stealer che estrae vari tipi di credenziali (ad esempio quelle bancarie) presenti nel dispositivo della vittima e le invia a chi effettuerà il cosiddetto takeover dell’account YouTube, rinominando il canale, rimuovendo i video presenti e lasciando solamente uno streaming live di una delle tante truffe che invitano a fare transazioni con criptomonete con il benestare della mascotte Elon Musk. Questo evento è causa di grandi disagi, problemi di reputazione e perdite economiche ai creator che vivono della pubblicità integrata nei video.
Per quanto tempestivamente i creator vengano avvisati dalla fanbase, il ripristino completo del canale richiede del tempo e anche degli interventi diretti di tecnici di YouTube.
Va da sé che se il malware in questione prende la deriva del ransomware, il danno risulta ancora più grave, specialmente quando quest’ultimo effettua il cosiddetto movimento laterale e infetta più computer sulla stessa rete.

Cosa fare in caso di presunto attacco phishing?

Come comportarsi, dunque, in questo caso? Come per ogni caso di presunto phishing, è necessario mantenere sempre la calma e prendersi il tempo di analizzare più punti di vista prima di cliccare; ad esempio, uno youtuber coinvolto può facilmente verificare dalle impostazioni dell’account di non aver realmente ricevuto alcun avviso di sospensione da YouTube stesso.

Da ora, insomma, vi consigliamo di prestare attenzione anche alle notifiche.

Per ulteriori letture, consultate il thread su Twitter di John Hammond che ha effettuato una disamina di tutto l’attacco, scaricando egli stesso il malware su piattaforma di sandbox, ha fatto detonare ed ha analizzato di conseguenza tutte le mosse eseguite da quest’ultimo.

“Today I got a notification on my phone that YouTube had sent me a copyright report, claiming one of my videos violated copyright and my channel was going to receive a strike. Except, my video didn’t violate copyright. And YouTube didn’t really send me a copyright report.”

John Hammond

Twitter