0924 TWCERT_CC YouTube 大量用戶帳號遭劫持,創作者哀鴻遍野.png
近日大量 YouTube 影音創作者帳號被劫,尤以汽車評鑑或汽車改裝類頻道為甚;其他類型 YouTube 帳號亦傳大量被盜。

 

據 ZDNet 報導,這次大量帳號被盜事件,集可能是預謀已久的協同攻擊行為;被盜的帳戶有許多都是訂閱破數十萬的人氣 YouTuber,在 Twitter 上和 YouTube 支援論壇中可以看到大量相關抱怨和討論。

整個攻擊手法以釣魚郵件開始,攻擊者以釣魚郵件,誘騙帳號持有人登入假的 Google 登入頁面,取得用戶的 Google 登入帳密後,立即將用戶的 YouTube 頻道管理權限轉移給攻擊者自己的其他帳號,同時修改 YouTube 頻道原本使用的自定網址,讓循此網址進來的觀眾看到錯誤訊息,誤以為該頻道已關閉。

更有受害者指出,這些攻擊者有能力通過二階段登入驗證,因為攻擊者很可能也同時攔截了受害者應該要收到的驗證密碼簡訊。

目前 Google 尚未針對此事發表任何評論。

 

  • 攻擊手法:釣魚郵件
  • 關鍵字:YouTube, Phising, 2FA 

 

  • 參考連結
  • https://www.zdnet.com/article/massive-wave-of-account-hijacks-hits-youtube-creators/

 

  • 更多【資安事件及新聞】請參考 http://twcert.org.tw/twcert/news

    twcert 發表在 痞客邦 留言(0) 人氣()