{"id":30231,"date":"2023-06-16T11:36:43","date_gmt":"2023-06-16T09:36:43","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30231"},"modified":"2023-06-16T11:36:43","modified_gmt":"2023-06-16T09:36:43","slug":"youtubers-takeovers","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/youtubers-takeovers\/30231\/","title":{"rendered":"So werden YouTube-Kan\u00e4le mithilfe gestohlener Cookies gehackt"},"content":{"rendered":"

Vor einigen Monaten wurde der beliebte Tech-Blogger Linus Tech gehackt<\/a>. Alle drei seiner YouTube-Kan\u00e4le (von denen der gr\u00f6\u00dfte \u00fcber 15 Millionen Abonnenten hat) gerieten in die H\u00e4nde von Cyberkriminellen, die pl\u00f6tzlich Streams mit betr\u00fcgerischer Krypto-Werbung verbreiteten. Doch wie ist es den Hackern \u00fcberhaupt gelungen, sich Zugang zu den Kan\u00e4len zu verschaffen? Hatte der ber\u00fchmte Tech-Blogger seine Konten nicht mit einem starken Passwort und einer Zwei-Faktor-Authentifizierung gesch\u00fctzt? Doch, nat\u00fcrlich hatte er das (zumindest behauptet<\/a> er das selbst).<\/p>\n

Linus Tech wurde Opfer eines \u201ePass-the-Cookie\u201c-Angriffs \u2013 eine Methode, die vor allem bei YouTubern zum Einsatz kommt. In diesem Beitrag m\u00f6chten wir einen genaueren Blick auf die Ziele und Motive solcher Angriffe werfen, wie Hacker auf Kan\u00e4le zugreifen k\u00f6nnen, ohne das Passwort und den Zweitfaktor zu kennen, was Google dagegen unternimmt und wie man einem solchen Angriff vorbeugen kann.<\/p>\n

\u00a0<\/p>\n

Warum YouTube-Kan\u00e4le?<\/h2>\n

Die Kan\u00e4le bekannter (und weniger bekannter) YouTuber werden in der Regel gekapert, um sie entweder gegen Zahlung eines L\u00f6segelds<\/a> wieder auszuliefern oder sich Zugang zu ihrem Publikum<\/a> zu verschaffen (wie im Fall des Hacks von Linus Tech). Im letztgenannten Fall \u00e4ndern die Angreifer nach einem erfolgreichen Hack, den Namen, das Profilbild und den Inhalt des Kanals.<\/p>\n

Anstelle eines Blogs, z. B. \u00fcber technische Innovation, erscheint pl\u00f6tzlich ein Kanal, der den Account eines Gro\u00dfunternehmens (meist Tesla) mit dem entsprechenden Profilbild imitiert. Danach nutzen die Angreifer den Kanal, um Mitschnitte von Elon Musk zu streamen, der seine Gedanken \u00fcber Kryptow\u00e4hrungen \u00e4u\u00dfert. Alle anderen Blog-Inhalte werden oft entfernt.<\/p>\n

<\/a>

Streams mit \u201eElon Musk\u201c auf einem gehackten Account. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Gleichzeitig wird im Chat ein Link zu einer Website mit einer \u201eeinmaligen Krypto-Promo\u201c eingeblendet. So verschenkt Musk selbst angeblich Kryptow\u00e4hrung: um einen Anteil zu erhalten, werden die Nutzer aufgefordert, ihre Coins auf ein bestimmtes Wallet zu transferieren, und erhalten dann doppelt so viel zur\u00fcck.<\/p>\n

\u00a0<\/p>\n

\"Eine<\/a>

Eine Fake-Site als Lockmittel f\u00fcr Stream-Zuschauer. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Ein kurioses Detail: Betr\u00fcger haben oftmals die Weitsicht, den Chat zu beschr\u00e4nken: So k\u00f6nnen nur Nutzer, die den Kanal seit mehr als 15 oder sogar 20 Jahren abonniert haben, Nachrichten ver\u00f6ffentlichen (und dabei spielt es keine Rolle, dass nicht nur der betreffende Kanal damals noch nicht existierte, sondern auch YouTube selbst erst 2005 erschien).<\/p>\n

Nat\u00fcrlich ist dies ein typisches Beispiel f\u00fcr einen Betrugsversuch, den wir bereits ein<\/a>\u2013 oder zweimal<\/a> analysiert haben.<\/p>\n

\"\u00dcberweisen<\/a>

\u00dcberweisen Sie Ihre Bitcoins an uns und wir geben Ihnen doppelt so viele zur\u00fcck. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Der Stream wird innerhalb k\u00fcrzester Zeit von YouTube blockiert, ebenso wie der Kanal des ungl\u00fccklichen Bloggers, weil er \u201egegen die YouTube-Community-Richtlinien\u201c verst\u00f6\u00dft. Und dann muss der eigentliche Besitzer seinen Kanal wiederherstellen und der Plattform beweisen, dass nicht er es war, der Links zu gef\u00e4lschten Websites verbreitet und betr\u00fcgerische Werbung gestreamt hat.<\/p>\n

F\u00fcr Linus Tech mit seinen 15 Millionen Abonnenten war dies relativ einfach zu bewerkstelligen. Der Kanal wurde innerhalb weniger Stunden wiederhergestellt, auch wenn er die Einnahmen f\u00fcr diesen Tag verlor. Die Frage, wie lange ein YouTuber mit einem kleineren Publikum brauchen w\u00fcrde, um das Problem zu beheben, und ob es \u00fcberhaupt m\u00f6glich w\u00e4re, ist eine Frage, die Sie nicht aus eigener Erfahrung beantworten m\u00f6chten.<\/p>\n

\u00a0<\/p>\n

Kanal-Hijacking ohne Passwort<\/h2>\n

Um einen YouTube-Kanal zu hacken, ist es nicht erforderlich, dass Angreifer irgendwelche Anmeldedaten stehlen. Es reicht aus, wenn sie Sitzungs-Token in die H\u00e4nde bekommen. Aber der Reihe nach\u2026<\/p>\n

Ein \u00fcblicher Angriff auf einen YouTube-Kanal beginnt<\/a> mit einer E-Mail an den Youtuber, die von einem echten Unternehmen zu stammen scheint, das eine Kooperation vorschl\u00e4gt; dabei kann es sich um einen VPN-Dienst, einen Spieleentwickler oder sogar einen Antivirus-Anbieter handeln. Die erste E-Mail enth\u00e4lt keinerlei Auff\u00e4lligkeiten, weshalb der Youtuber selbst oder ein Mitarbeiter seines Teams mit einer standardm\u00e4\u00dfigen Nachricht antwortet, in der die Kosten f\u00fcr die Produktplatzierung aufgef\u00fchrt sind.<\/p>\n

Die nachfolgende E-Mail ist weit weniger harmlos. Die Betr\u00fcger schicken<\/a> darin ein Archiv, in dem sich angeblich ein Vertrag oder ein Link zu einem Cloud-Dienst befindet, um diesen herunterzuladen, sowie das Passwort f\u00fcr dieses Archiv. Damit die E-Mail glaubhafter wirkt, versehen die Angreifer sie oft mit einem Link zu einer Website oder einem Social-Media-Konto, die\/das mit dem Produkt zusammenh\u00e4ngt, f\u00fcr das der Youtuber \u201ewerben\u201c soll. Dieser Link kann entweder auf die Website eines seri\u00f6sen Unternehmens oder auf eine Fake-Seite<\/a> verweisen.<\/p>\n

E-Mail mit einem Link zum Download eines Archivs mit einem \"Vertrag\".<\/a>

E-Mail mit einem Link zum Download eines Archivs mit einem \u201eVertrag\u201c.Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Wenn der Youtuber oder dessen Mitarbeiter nicht aufmerksam genug sind und das Archiv entpacken, finden sie ein oder mehrere Dokumente, die wie normale Word- oder PDF-Dateien aussehen k\u00f6nnen. Seltsam ist nur, dass die Dateien recht gro\u00df sind (mehr als 700 MB), was eine \u00dcberpr\u00fcfung auf Bedrohungen mit einem Dienst wie VirusTotal<\/a> unm\u00f6glich macht. Zahlreiche Sicherheitsl\u00f6sungen \u00fcberspringen sie aus demselben Grund. Das \u00d6ffnen der Dateien mit speziellen Tools zur Analyse ausf\u00fchrbarer Dateien offenbart zahlreiche leere Speicherbereiche, was diese Dokumente so platzintensiv macht.<\/p>\n

Hinter der Datei, die wie ein harmloser Vertrag aussieht, verbirgt sich nat\u00fcrlich eine ganze Reihe von Schadprogrammen. Das Problem ist bekannt, und Google hat derartige Angriffe eingehend analysiert<\/a> und die verschiedenen Arten der verwendeten Malware identifiziert. Zu ihnen geh\u00f6rte unter anderem der RedLine-Trojaner<\/a>, der in letzter Zeit von vielen YouTubern f\u00fcr ihr Ungl\u00fcck verantwortlich<\/a> gemacht wurde.<\/p>\n

Angreifer nutzen diese Malware, um ihr prim\u00e4res Ziel zu erreichen: den Diebstahl von Sitzungstoken aus dem Browser des Opfers. Mithilfe von Sitzungstoken oder Cookies \u201emerkt\u201c sich der Browser den Nutzer, damit dieser nicht jedes Mal den kompletten Authentifizierungsprozess mit einem Passwort und der Zweifaktorauthentifizierung durchlaufen muss. Dank der gestohlenen Token k\u00f6nnen sich Cyberkriminelle n\u00e4mlich als ihr Opfer ausgeben und sich ohne die Anmeldedaten bei deren Konten anmelden.<\/p>\n

\u00a0<\/p>\n

Wie steht es mit Google?<\/h2>\n

Google ist sich dieses Problems seit 2019 bekannt. Das Unternehmen ver\u00f6ffentlichte 2021 eine gro\u00dfe Studie mit dem Titel \u201ePhishing campaign targets YouTube creators with cookie theft malware<\/a>\u201c (Phishing-Kampagne richtet sich mit Malware zum Cookie-Diebstahl an YouTuber). Die Threat Analysis Group von Google untersuchte die Social-Engineering-Techniken und die Malware, die bei solchen Angriffen eingesetzt werden.<\/p>\n

Nach der Studie gab das Unternehmen bekannt, dass eine Reihe von Schutzma\u00dfnahmen f\u00fcr Nutzer ergriffen wurden:<\/p>\n