今天在 ptt 看到酷的夢 YouTube 頻道被盜用的消息(ptt) 。我其實不認識這個頻道,但看完事情的經過,不禁感嘆這種盜用 YouTube 帳號的社交工程攻擊手法又進化了,依然持續有創作者深受其害。
有些人或許懶得點進去看,我簡單整理一下他頻道被盜用的經過,然後再分享自己過去碰到類似事件的經驗。
事件經過
- 酷的夢收到一封來自 Adobe 的電子郵件,內容是 MrBeast 的合作邀請。
- 確認寄件者是 Adobe 官方,便放下戒心依郵件內容指示進行申請。
- 申請過程需驗證 YouTube 頻道,於是輸入賬號密碼和驗證碼。
- 過沒多久即遭到盜用,失去帳號控制權無法登入。
驗證頻道要帳密和驗證碼這一步,或許有些人警戒心比較高,就會在這裡先停下來查證了。但不得不說,電子郵件來自 Adobe 官方,並且擁有 Google 認證的藍勾勾,可以理解有人會大意。
為什麼寄件者會顯示 Adobe 呢?其實沒什麼高深的技巧,只是攻擊者利用了Adobe Acrobat 內建的文件共享功能,冒充 MrBeast 的名義送出了共享邀請信而已。所以郵件確實來自 Adobe,但連結中的文件和官方當然一點關係都沒有。
個人經驗
大概 3 年前(2023 年),我其實也有遇過類似的社交工程攻擊,當下我沒有意識到對方心懷不軌,但幸好最後並未中招。趁這個機會分享一下事情經過。
一開始對方自稱是 Heart Machine 的行銷經理,這是一間小有名氣的獨立遊戲工作室。我本來沒聽過,但上 Steam 一看,發現電子郵件第一段提到的那兩款作品《Hyper Light Drifter(Steam) 》和《Solar Ash(Steam) 》,都有我的朋友加進了願望清單。
對方表示有新遊戲要上市,想邀請我合作進行宣傳。我的頻道其實不太適合做這件事,但當時不覺得找上我很意外,以為只是語言隔閡造成了誤會。
(為了方便閱讀,截圖使用了沉浸式翻譯。)
而且對方很聰明的一點是,沒有一上來就提供所謂的「試玩版」遊戲,而是煞有其事地討論報酬和合作方式。如果馬上被塞了不知名的執行檔,我大概就會有警覺了吧。
由於自認沒辦法完成任務,只好簡單說明理由並婉拒。沒想到對方沒打退堂鼓,而是展現出有問題可以一起解決的態度。
然後我只好詳述沒辦法合作的原因,並友善地表示已經將他們的遊戲加進願望清單,祝福屆時遊戲發行順利。
沒想到他們直接開大絕談錢…提供 600 美元!對我這個窮光蛋來說,這可真是太吸引人了,5 分鐘的影片就能賺 600 美元啊!
猶豫了 30 秒,做不到的事就是做不到,只好一邊捶心肝,一邊更正式地回絕對方,並告知等未來遊戲推出以後,我願意找機會在適合的情況下免費宣傳這款新作。
對方到這裡大概心想,這麼有這麼頑固的低能,有看出來是騙術就算了,看不出來還不答應是怎樣?就沒有再繼續回覆了 lol
假如我答應了,接下來對方不意外會提供「試玩版」遊戲吧。真的下載並執行後,YouTube 帳號就不保了,不管有沒有設定 TOTP 都沒用,整個登入狀態都會被盜走,對方不用經過登入這一步。
這幾年不是偶爾會看到某某 YouTuber 帳號遭盜用,原本的影片全部消失,還被拿去開加密貨幣相關的直播嗎?那些應該都是被類似套路搞的,遊戲類實況主特別容易中招。而且不是實況主本人小心就好,假如有團隊,必須確保每位成員都有足夠的警覺心才行。
結語
當年這類事件還不常見,或是我孤陋寡聞了,但後來看到一些人分享 YouTube 帳號被盜用的經過,才恍然大悟當初遇到的是同一種手法。只能說幸好自己有堅守原則,也沒有貪圖那 600 美元。否則 YouTube 的支援可是出了名消極,百萬訂閱或許還有辦法找到人協助,我這種小蝦米大概只能認栽了吧。
評論