Vor einigen Monaten wurde der beliebte Tech-Blogger Linus Tech gehackt. Alle drei seiner YouTube-Kanäle (von denen der größte über 15 Millionen Abonnenten hat) gerieten in die Hände von Cyberkriminellen, die plötzlich Streams mit betrügerischer Krypto-Werbung verbreiteten. Doch wie ist es den Hackern überhaupt gelungen, sich Zugang zu den Kanälen zu verschaffen? Hatte der berühmte Tech-Blogger seine Konten nicht mit einem starken Passwort und einer Zwei-Faktor-Authentifizierung geschützt? Doch, natürlich hatte er das (zumindest behauptet er das selbst).
Linus Tech wurde Opfer eines „Pass-the-Cookie“-Angriffs – eine Methode, die vor allem bei YouTubern zum Einsatz kommt. In diesem Beitrag möchten wir einen genaueren Blick auf die Ziele und Motive solcher Angriffe werfen, wie Hacker auf Kanäle zugreifen können, ohne das Passwort und den Zweitfaktor zu kennen, was Google dagegen unternimmt und wie man einem solchen Angriff vorbeugen kann.
Warum YouTube-Kanäle?
Die Kanäle bekannter (und weniger bekannter) YouTuber werden in der Regel gekapert, um sie entweder gegen Zahlung eines Lösegelds wieder auszuliefern oder sich Zugang zu ihrem Publikum zu verschaffen (wie im Fall des Hacks von Linus Tech). Im letztgenannten Fall ändern die Angreifer nach einem erfolgreichen Hack, den Namen, das Profilbild und den Inhalt des Kanals.
Anstelle eines Blogs, z. B. über technische Innovation, erscheint plötzlich ein Kanal, der den Account eines Großunternehmens (meist Tesla) mit dem entsprechenden Profilbild imitiert. Danach nutzen die Angreifer den Kanal, um Mitschnitte von Elon Musk zu streamen, der seine Gedanken über Kryptowährungen äußert. Alle anderen Blog-Inhalte werden oft entfernt.
Gleichzeitig wird im Chat ein Link zu einer Website mit einer „einmaligen Krypto-Promo“ eingeblendet. So verschenkt Musk selbst angeblich Kryptowährung: um einen Anteil zu erhalten, werden die Nutzer aufgefordert, ihre Coins auf ein bestimmtes Wallet zu transferieren, und erhalten dann doppelt so viel zurück.
Ein kurioses Detail: Betrüger haben oftmals die Weitsicht, den Chat zu beschränken: So können nur Nutzer, die den Kanal seit mehr als 15 oder sogar 20 Jahren abonniert haben, Nachrichten veröffentlichen (und dabei spielt es keine Rolle, dass nicht nur der betreffende Kanal damals noch nicht existierte, sondern auch YouTube selbst erst 2005 erschien).
Natürlich ist dies ein typisches Beispiel für einen Betrugsversuch, den wir bereits ein– oder zweimal analysiert haben.
Der Stream wird innerhalb kürzester Zeit von YouTube blockiert, ebenso wie der Kanal des unglücklichen Bloggers, weil er „gegen die YouTube-Community-Richtlinien“ verstößt. Und dann muss der eigentliche Besitzer seinen Kanal wiederherstellen und der Plattform beweisen, dass nicht er es war, der Links zu gefälschten Websites verbreitet und betrügerische Werbung gestreamt hat.
Für Linus Tech mit seinen 15 Millionen Abonnenten war dies relativ einfach zu bewerkstelligen. Der Kanal wurde innerhalb weniger Stunden wiederhergestellt, auch wenn er die Einnahmen für diesen Tag verlor. Die Frage, wie lange ein YouTuber mit einem kleineren Publikum brauchen würde, um das Problem zu beheben, und ob es überhaupt möglich wäre, ist eine Frage, die Sie nicht aus eigener Erfahrung beantworten möchten.
Kanal-Hijacking ohne Passwort
Um einen YouTube-Kanal zu hacken, ist es nicht erforderlich, dass Angreifer irgendwelche Anmeldedaten stehlen. Es reicht aus, wenn sie Sitzungs-Token in die Hände bekommen. Aber der Reihe nach…
Ein üblicher Angriff auf einen YouTube-Kanal beginnt mit einer E-Mail an den Youtuber, die von einem echten Unternehmen zu stammen scheint, das eine Kooperation vorschlägt; dabei kann es sich um einen VPN-Dienst, einen Spieleentwickler oder sogar einen Antivirus-Anbieter handeln. Die erste E-Mail enthält keinerlei Auffälligkeiten, weshalb der Youtuber selbst oder ein Mitarbeiter seines Teams mit einer standardmäßigen Nachricht antwortet, in der die Kosten für die Produktplatzierung aufgeführt sind.
Die nachfolgende E-Mail ist weit weniger harmlos. Die Betrüger schicken darin ein Archiv, in dem sich angeblich ein Vertrag oder ein Link zu einem Cloud-Dienst befindet, um diesen herunterzuladen, sowie das Passwort für dieses Archiv. Damit die E-Mail glaubhafter wirkt, versehen die Angreifer sie oft mit einem Link zu einer Website oder einem Social-Media-Konto, die/das mit dem Produkt zusammenhängt, für das der Youtuber „werben“ soll. Dieser Link kann entweder auf die Website eines seriösen Unternehmens oder auf eine Fake-Seite verweisen.
Wenn der Youtuber oder dessen Mitarbeiter nicht aufmerksam genug sind und das Archiv entpacken, finden sie ein oder mehrere Dokumente, die wie normale Word- oder PDF-Dateien aussehen können. Seltsam ist nur, dass die Dateien recht groß sind (mehr als 700 MB), was eine Überprüfung auf Bedrohungen mit einem Dienst wie VirusTotal unmöglich macht. Zahlreiche Sicherheitslösungen überspringen sie aus demselben Grund. Das Öffnen der Dateien mit speziellen Tools zur Analyse ausführbarer Dateien offenbart zahlreiche leere Speicherbereiche, was diese Dokumente so platzintensiv macht.
Hinter der Datei, die wie ein harmloser Vertrag aussieht, verbirgt sich natürlich eine ganze Reihe von Schadprogrammen. Das Problem ist bekannt, und Google hat derartige Angriffe eingehend analysiert und die verschiedenen Arten der verwendeten Malware identifiziert. Zu ihnen gehörte unter anderem der RedLine-Trojaner, der in letzter Zeit von vielen YouTubern für ihr Unglück verantwortlich gemacht wurde.
Angreifer nutzen diese Malware, um ihr primäres Ziel zu erreichen: den Diebstahl von Sitzungstoken aus dem Browser des Opfers. Mithilfe von Sitzungstoken oder Cookies „merkt“ sich der Browser den Nutzer, damit dieser nicht jedes Mal den kompletten Authentifizierungsprozess mit einem Passwort und der Zweifaktorauthentifizierung durchlaufen muss. Dank der gestohlenen Token können sich Cyberkriminelle nämlich als ihr Opfer ausgeben und sich ohne die Anmeldedaten bei deren Konten anmelden.
Wie steht es mit Google?
Google ist sich dieses Problems seit 2019 bekannt. Das Unternehmen veröffentlichte 2021 eine große Studie mit dem Titel „Phishing campaign targets YouTube creators with cookie theft malware“ (Phishing-Kampagne richtet sich mit Malware zum Cookie-Diebstahl an YouTuber). Die Threat Analysis Group von Google untersuchte die Social-Engineering-Techniken und die Malware, die bei solchen Angriffen eingesetzt werden.
Nach der Studie gab das Unternehmen bekannt, dass eine Reihe von Schutzmaßnahmen für Nutzer ergriffen wurden:
- Es wurden erweiterte heuristische Richtlinien implementiert, um Phishing- und Social-Engineering-E-Mails, Cookie-Diebstahl und betrügerische Krypto-Livestreams zu erkennen und zu verhindern.
- Safe Browsing beinhaltet jetzt erweiterte Fähigkeiten, um schädliche Webseiten und Downloads zu erkennen und zu blockieren.
- YouTube hat die Prozesse zur Übertragung von Kanälen verstärkt und mehr als 99 % der kompromittierten Kanäle erfolgreich erkannt und automatisch wiederhergestellt.
- Die Authentifizierungsverfahren wurden verstärkt, um Nutzer vor potenziell riskanten Aktivitäten zu schützen, zu warnen und die Sicherheit ihrer Konten zu erhöhen.
Aber funktionieren diese Maßnahmen überhaupt? Den Kommentaren von YouTubern selbst und der Tatsache nach zu urteilen, dass derartige Hacks weiterhin regelmäßig auftauchen (während ich diesen Beitrag schreibe bin ich selbst auf einen streamenden Elon Musk gestoßen) – nicht wirklich. Linus Tech zeigte sich empört darüber, dass YouTube den Nutzer nicht zur Eingabe eines Passworts oder eines Sicherheitscodes auffordert, um den Namen des Kanals und sein Profilbild zu ändern und auch alle Videos aus dem Kanal zu entfernen.
Schützen Sie Ihre eigenen Kanäle
Um nicht die Kontrolle über Ihren eigenen Kanal zu verlieren, sollten Sie eine Reihe von Vorsichtsmaßnahmen treffen. Installieren Sie zunächst eine zuverlässige Schutzlösung auf allen Arbeitsgeräten und halten Sie regelmäßige Team-Schulungen im Bereich Cybersicherheit ab.
- Die typischen Anzeichen von Phishing sollten bekannt sein.
- Social Engineering muss erkannt werden können.
- Verdächtigen Links sollte niemals gefolgt werden.
- Archivierte Anhänge aus nicht vertrauenswürdigen Quellen sollten weder heruntergeladen noch geöffnet werden.