YouTube Üzerinden Tehlikeli Stream-Jacking Saldırıları: Bilgiler ve Öneriler

Son zamanlarda, Bitdefender tarafından yapılan yeni bir araştırma, popüler YouTube kanallarının hedef alındığı ve izleyicilerin kötü amaçlı bağlantılara veya tuzaklara çekildiği stream-jacking saldırılarında önemli bir artışı gözler önüne serdi. Bu tür saldırılar, YouTube hesaplarının tamamen ele geçirilmesine yol açabilirken, bazı durumlarda takipçileri sahte kanallara çekmeyi hedeflemektedir.

Bu araştırma, YouTube’daki stream-jacking saldırılarına odaklanmaktadır. Araştırmacılar, büyük takipçi kitlesine sahip hesapların siber suçlular tarafından hedeflendiğini ve kötü amaçlı mesajların geniş kitlelere yayılmasının amaçlandığını keşfettiler. Bu amaçla, kullanıcıların beslemelerine şüpheli YouTube canlı yayın pop-up’ları yerleştirerek aynı içeriği, ancak kötü niyetlerle tanıtarak kullanılıyorlar.

Bu kampanyada hedeflenen YouTube kanalları, büyük bir takipçi kitlesine sahip olanlardır. Çünkü siber suçlular, bu kanalları ele geçirdikten sonra sahiplerinden fidye talep edebilir veya izleyicilere kötü amaçlı yazılım veya dolandırıcılık dağıtarak kolayca para kazanabilirler. Bu kanallar genellikle Tesla gibi en çok tanınmış markalardır ve milyonlarca takipçi ve milyarlarca görüntüleme elde etmektedirler.

YouTube’da kripto dolandırıcılığı ciddi bir sorundur. Örneğin, 2020 yılında Apple’ın kurucu ortağı Steve Wozniak, adını kullanarak Bitcoin dolandırıcılığı yapan YouTube’a dava açtı. Wozniak, YouTube ve Google’ı bu tür dolandırıcılıklara karşı önlem almadıkları için suçladı.

Bitdefender’ın araştırmasına göre, siber suçluların bu saldırıları gerçekleştirirken genellikle aynı modus operandi’yi kullandıkları görülmüştür. Bu modus operandi, phishing saldırılarını içermektedir. Siber suçlular, sahiplerine marka işbirlikleri veya sponsorluk anlaşmaları gibi fırsatlar sunan e-postalar gönderirler. Bazı durumlarda, YouTube’dan gelen sahte telif hakkı ihlali bildirimleri gibi meşru görünen iş tekliflerini içeren e-postalar kullanılır. Bu e-postaların amacı, alıcıyı işbirliği teklifinin ayrılmaz bir parçası olarak sunulan kötü amaçlı bir dosyayı indirmeye teşvik etmektir. Bu dosya genellikle Redline Infostealer kötü amaçlı yazılımını içerir ve 300 MB’den fazla büyük bir PDF dosyasıdır, bu da çoğu standart güvenlik önlemini atlatabilir.

Bu kötü amaçlı dosya açıldığında, 30 saniye içinde bilgisayardan önemli verileri toplamaya başlar, bu veriler oturum belirteçlerini ve çerezleri içerir. Bu bilgilerle saldırgan, kullanıcı 2FA (iki faktörlü kimlik doğrulama) etkinleştirmiş olsa bile YouTube kanalına doğrudan erişebilir. Hesabı ele geçirdikten sonra saldırganlar içerik gömme yoluyla yeniden yayın yapabilir veya yükleyebilirler. Bu içerikler genellikle canlı yayın dolandırıcılığını içerir ve gözlemlenen kanalların orijinal videoları ve çalma listeleri genellikle özel yapılmış veya silinmiştir.

Saldırganlar ayrıca kanal açıklamalarını ihtiyaçlarına göre düzenlerler, ancak kanallar genellikle sahtecilik yaratmak için resmi Tesla çalma listelerini içerirler, bu da orijinal sahibi hiçbir şey bırakmaz.

“Bu sürecin büyük olasılıkla otomatik olduğu düşünülüyor, çünkü bu kadar büyük çaplı bir operasyon gerçekleştirmek zaman alıcı olurdu ve potansiyel olarak kanalın asıl sahibine şüpheli davranışları fark etme fırsatı verebilirdi.”

Bitdefender Raporu’na göre, saldırının ikinci bölümü, hesap abonelerini ve izleyicilerini kötü amaçlı tekliflerle hedef alıyor. Saldırganlar, kanal abonelerini aldatmak için canlı yayın pop-up’ları, kötü amaçlı bağlantılar ve QR kodları gibi çeşitli teknikler kullanırlar.

Taklit edilen kanallar, genellikle resmi isimleri kullanarak meşruiyet izlenimi vermeye çalışır. Örneğin, “Tesla US,” “Tesla Official,” “Tesla (INC),” ve “Tesla News” gibi. Ancak çoğu hesap adı harf hilesi içerir, yani harf L, büyük harf I (İ) ile değiştirilir ve ‘@’ işareti gibi gürültü karakterleri içerir.

Bu saldırının çoğu resmi Tesla yayınlarını ilham alır ve başlıkları benzerdir. Bazı durumlarda, kanal adı YouTube’un iki haftada iki değişiklik politikası nedeniyle aynı kalır ve YouTube kötü niyetli faaliyeti tespit ettiğinde hesap silinir.

Saldırıların bir sonucu olarak, bazı durumlarda araştırmacılar bir QR kodunun videonun içine yerleştirildiğini ve bu kodun bir phishing web sitesine yönlendirdiğini tespit etmişlerdir. Eğer yorumlar bölümü etkinse, aynı bağlantının moderatör tarafından oraya da gönderildiğini ve bazen bağlantının direkt olarak videoda yer aldığını görmüşlerdir. Bu kötü niyetli bağlantılar, kripto para birimlerini (örneğin, Bitcoin, Ethereum, BNB, USDT, Inu, Dogecoin veya Shiba) göndererek iki katı miktar almayı vaat eder.

Bazı durumlarda, canlı yayınların döngüsel ses/video içeriği yüksek kaliteli ve gerçek gibi görünen Elon Musk deepfake’leri içerebilir. Saldırganlar ayrıca bu tür kanallarda tanıtılan phishing kitlerini tanıttıkları bir Telegram kanalı önermektedirler. Aynı kitlerin öne çıktığı 150'den fazla web sitesi üzerinden 1300'den fazla kripto dolandırıcılığı yapılmıştır, ve bu sitelerin tümü Cloudflare koruması altındadır.

YouTube kanalı sahipleri dikkatli olmalı ve güçlü, benzersiz şifreler kullanmalı, çoklu güvenlik katmanlarını (2FA veya MFA) etkinleştirmeli ve phishing saldırılarını tespit etmeye yardımcı yazılımları kurmalıdır. Bu, hem kanal sahiplerinin hem de izleyicilerin çevrimiçi güvenliklerini artırabilir ve bu tür tehlikeli saldırılara karşı daha iyi korunmalarını sağlayabilir.

Bu gelişmeler, YouTube ve benzeri platformlarda güvenlik bilinci ve çevrimiçi tehlikelere karşı önlem alma önemini bir kez daha vurgulamaktadır. Herkesin çevrimiçi etkinliklerini daha güvenli hale getirmek için dikkatli olması gerekmektedir.

Yeni yazılar için beklemede kalın :)