Oferta rabatowa na wiele licencji
Baza danych zagrożeń Phishing Oszustwo związane z aktualizacją monetyzacji programu...

Oszustwo związane z aktualizacją monetyzacji programu partnerskiego YouTube

Do Mezo w Phishing, Spam
Przetłumacz na:
Polski

W Internecie istnieje wiele oszukańczych schematów mających na celu wykorzystanie niczego niepodejrzewających użytkowników. Cyberprzestępcy nieustannie udoskonalają swoje taktyki, tworząc taktyki, które mogą wydawać się bardzo przekonujące. Jedną z takich taktyk, która jest aktywna od stycznia 2024 r., jest kampania phishingowa „YouTube Partner Program Monetization Update”. Ta taktyka jest skierowana konkretnie do twórców treści YouTube, próbując zebrać dane uwierzytelniające ich kont.

Jak działa taktyka

Taktyka zaczyna się od oszukańczego e-maila wysłanego do twórców treści YouTube. E-mail twierdzi, że zasady monetyzacji YouTube uległy zmianie i że twórcy muszą zapoznać się z zaktualizowanymi warunkami i je zaakceptować. Aby dodać pilności, e-mail ostrzega, że niedopełnienie obowiązku w ciągu siedmiu dni może skutkować ograniczeniami konta.

  • Przynęta w postaci filmu generowanego przez AI : Ofiary, które postępują zgodnie z instrukcjami w wiadomości e-mail, są kierowane do prywatnego filmu generowanego przez AI, zawierającego deepfake CEO YouTube, Neala Mohana. Na filmie CEO wydaje się ogłaszać rzekome aktualizacje monetyzacji. Opis filmu zawiera niebezpieczny link, który rzekomo prowadzi do oficjalnej strony potwierdzenia zasad.
  • Witryna internetowa do zbierania danych uwierzytelniających : Kliknięcie podanego łącza przenosi ofiary do oszukańczej witryny internetowej, która bardzo przypomina oficjalną platformę YouTube. Witryna nalega, aby twórcy „potwierdzili zaktualizowane warunki programu partnerskiego YouTube (YPP)”, aby kontynuować monetyzację swoich treści. Gdy użytkownicy klikną przycisk „Rozpocznij aktualizację monetyzacji”, zostaną poproszeni o podanie danych logowania do YouTube. Nieświadoma ofiary witryna phishingowa przechwytuje i przesyła te dane uwierzytelniające bezpośrednio do cyberprzestępców. Po przesłaniu strona wyświetla mylący komunikat potwierdzający: „Twój kanał jest teraz w toku. Otwórz dokument w opisie filmu, aby uzyskać wszystkie niezbędne informacje”.
  • Następstwa: przywłaszczone konta i taktyki kryptowalutowe : Gdy oszuści przejmą kontrolę nad kontem YouTube, mogą je wykorzystać do różnych złośliwych celów. Zaobserwowano, że wiele przejętych kont transmitowało na żywo oszustwa związane z kryptowalutami, oszukując widzów i nakłaniając ich do oszukańczych inwestycji. W innych przypadkach hakerzy mogą usuwać treści, zmieniać markę kanałów lub żądać okupu od pierwotnych właścicieli.

Dlaczego witryny internetowe nie mogą skanować Twojego urządzenia pod kątem złośliwego oprogramowania

Wielu użytkowników zakłada, że odwiedzenie strony internetowej może wywołać pełne skanowanie złośliwego oprogramowania w ich systemie, ale jest to błędne przekonanie. Strony internetowe, w tym legalne usługi bezpieczeństwa, nie mogą przeprowadzać pełnego skanowania urządzenia użytkownika z następujących powodów:

  1. Ograniczony dostęp z założenia : Przeglądarki internetowe izolują strony internetowe od podstawowych plików systemowych, aby zapobiec nieautoryzowanemu dostępowi. Ten model bezpieczeństwa, znany jako technika sandboxingu, zapewnia, że strona internetowa nie może skanować plików, instalować programów ani modyfikować ustawień systemowych na Twoim urządzeniu.
  2. Skanowanie wymaga uprawnień na poziomie systemu : Wykonanie pełnego skanowania w poszukiwaniu złośliwego oprogramowania wymaga głębokiego dostępu do systemu plików, procesów i rejestru (na urządzeniach z systemem Windows). Witryny nie mają tych uprawnień, ponieważ nowoczesne przeglądarki są zaprojektowane tak, aby chronić użytkowników przed nieautoryzowanym zdalnym sterowaniem.
  3. Skanery internetowe analizują tylko przesłane pliki : Niektóre witryny internetowe poświęcone bezpieczeństwu oferują usługi skanowania antywirusowego online, ale działają one tylko wtedy, gdy użytkownicy ręcznie przesyłają określony plik. Te narzędzia nie wykonują skanowania całego systemu, ale zamiast tego sprawdzają pliki pod kątem znanych sygnatur złośliwego oprogramowania.
  4. Fałszywe ostrzeżenia o złośliwym oprogramowaniu to powszechna taktyka : Cyberprzestępcy często używają fałszywych alertów bezpieczeństwa, twierdząc, że strona internetowa wykryła złośliwe oprogramowanie na urządzeniu użytkownika. Te taktyki mają na celu nakłonienie użytkowników do pobrania fałszywego oprogramowania antywirusowego, które w rzeczywistości jest ukrytym złośliwym oprogramowaniem.

    5. Jak chronić się przed taktykami phishingu

    1. Zweryfikuj informacje z oficjalnych źródeł : Jeśli otrzymasz wiadomość e-mail o aktualizacjach zasad YouTube, nie klikaj od razu na linki. Zamiast tego odwiedź oficjalną stronę YouTube lub sprawdź aktualizacje ze zweryfikowanych kanałów komunikacji Google.
    2. Sprawdź adres nadawcy wiadomości e-mail : Wiadomo, że oszuści używają adresów e-mail, które wyglądają podobnie do oficjalnych, ale zawierają drobne błędy ortograficzne lub dodatkowe znaki. Zawsze sprawdzaj nadawcę przed podjęciem jakichkolwiek działań.
    3. Uważaj na taktyki pilności : Cyberprzestępcy często namawiają ofiary, wywołując fałszywe poczucie pilności. Poświęć trochę czasu na ocenę każdego alertu przed podjęciem działania.
    4. Użyj uwierzytelniania wieloskładnikowego (MFA) : Włączenie uwierzytelniania wieloskładnikowego (MFA) dodaje dodatkową warstwę bezpieczeństwa. Nawet jeśli oszuści uzyskają Twoje hasło, nie będą mogli uzyskać dostępu do Twojego konta bez Twojej dodatkowej metody uwierzytelniania.
    5. Nigdy nie podawaj danych uwierzytelniających na niezweryfikowanych stronach internetowych : Przed podaniem danych logowania sprawdź dwukrotnie adres URL, aby upewnić się, że jesteś na oficjalnej stronie internetowej. Poszukaj szyfrowania HTTPS i zweryfikuj, czy domena należy do YouTube lub Google.
    6. Ujawnianie prób phishingu : Jeśli natkniesz się na próbę phishingu, zgłoś ją na oficjalnej stronie Google służącej do zgłaszania prób phishingu, aby zapobiec staniu się ofiarą oszustwa innym osobom.

    Ostatnie przemyślenia

    Oszustwo „YouTube Partner Program Monetization Update” to wyrafinowana próba phishingu, której celem jest zebranie danych uwierzytelniających konta YouTube. Oszuści skutecznie przejmują konta, wykorzystując filmy generowane przez AI i taktyki pilności, aby uzyskać korzyści finansowe.

    Zachowanie ostrożności i pozostawanie poinformowanym w przypadku nieoczekiwanych wiadomości e-mail, linków i komunikatów online to najlepsza obrona przed cyberzagrożeniami. Zawsze weryfikuj informacje za pośrednictwem oficjalnych kanałów, włącz funkcje bezpieczeństwa, takie jak MFA, i pamiętaj — jeśli coś wydaje się podejrzane, prawdopodobnie takie jest.

    Popularne

    Najczęściej oglądane

    Ładowanie...