YouTube 大量用戶帳號遭劫持,創作者哀鴻遍野
- 發布單位:TWCERT/CC
- 更新日期:2020-05-20
- 點閱次數:2060
近日大量 YouTube 影音創作者帳號被劫,尤以汽車評鑑或汽車改裝類頻道為甚;其他類型 YouTube 帳號亦傳大量被盜。
據 ZDNet 報導,這次大量帳號被盜事件,集可能是預謀已久的協同攻擊行為;被盜的帳戶有許多都是訂閱破數十萬的人氣 YouTuber,在 Twitter 上和 YouTube 支援論壇中可以看到大量相關抱怨和討論。
整個攻擊手法以釣魚郵件開始,攻擊者以釣魚郵件,誘騙帳號持有人登入假的 Google 登入頁面,取得用戶的 Google 登入帳密後,立即將用戶的 YouTube 頻道管理權限轉移給攻擊者自己的其他帳號,同時修改 YouTube 頻道原本使用的自定網址,讓循此網址進來的觀眾看到錯誤訊息,誤以為該頻道已關閉。
更有受害者指出,這些攻擊者有能力通過二階段登入驗證,因為攻擊者很可能也同時攔截了受害者應該要收到的驗證密碼簡訊。
目前 Google 尚未針對此事發表任何評論。
- 攻擊手法:釣魚郵件
- 關鍵字:YouTube, Phising, 2FA