Жуки-мошенники в YouTube: как спамеры используют видеохостинг для своих целей?

Специалисты компании F.A.C.C.T. недавно обнаружили новую волну спам-рассылок, маскирующихся под уведомления от популярного видеохостинга YouTube. Такие письма стали поступать на электронные ящики сотрудников крупных компаний в России.

Как работают мошенники

Злоумышленники отправляют письма, якобы от имени YouTube, с уведомлением о том, что на комментарий под неким видеороликом был оставлен ответ. Название видео в письмах сообщало о «новом проекте от именитого фин-бренда», что вызывает интерес и желание перейти по ссылке.

При переходе по ссылке получателя встречает капча – стандартная защита от автоматических атак.

Однако, при ближайшем рассмотрении оказывается, что капча запрограммирована таким образом, что всегда принимает одно и то же значение. Капча нужна этому сайту не для защиты от атак, а для того, чтобы скрыть дальнейшее содержимое подальше от глаз систем информационной безопасности, автоматически анализирующих содержимое страниц по ссылкам, размещенным, например, в электронных письмах.

После капчи пользователь попадает на сайт, где ему предлагают ввести персональные данные и участвовать в опросе, якобы для оценки финансового положения.

Введя свои данные, жертва становится потенциальной целью для дальнейших мошеннических действий. Ей звонит так называемый «специалист», представляющийся персональным менеджером. Он убеждает жертву открыть счет и перевести на него деньги для «начала заработка». В результате все средства оказываются в руках мошенников.

Техника маскировки

Злоумышленники тщательно подготовили свою схему, чтобы избежать подозрений и обойти алгоритмы безопасности YouTube. Они зарегистрировали новый YouTube-канал и разместили на нём несколько видеороликов различной тематики, таких как «подборки приколов» и видео с животными, чтобы придать каналу естественный вид. Далее они опубликовали видео под названием «НОВЫЙ ПРОЕКТ», ссылку на которое и содержали письма.

Затем, с другого аккаунта, под этим видео был оставлен комментарий, на который с третьего аккаунта был дан ответ. После этого комментарии к видео были закрыты. Таким образом, первый аккаунт получил от YouTube письмо-уведомление с информацией о том, что на его комментарий был дан ответ.

Массовая рассылка

Полученное таким образом письмо мошенники начали массово рассылать со своих серверов пользователям, чьи адреса оказались в списках массовой рассылки. Важно отметить, что YouTube не подозревает, что от его имени рассылались эти письма, и сама платформа не имеет уязвимостей, которые бы позволили мошенникам воспользоваться ею напрямую.

Выявление и борьба с рассылкой

Основная опасность этих писем заключается в том, что они содержат подлинную DKIM-подпись YouTube, подтверждающую их подлинность. Однако внимательные пользователи могут заметить несоответствия, такие как email-адрес отправителя, который не имеет отношения к YouTube.

Ещё одним важным признаком спам-рассылки является дата отправки письма, подписанная DKIM-подписью. Злоумышленники не могут изменить эту дату, так как это потребовало бы заново создать DKIM-подпись, что они сделать не могут. В результате фактическая дата получения письма может значительно отличаться от даты отправки.