Un grupo de ciberdelincuentes llevó a cabo una campaña de suplantación de identidad creando una copia de YouTube, la plataforma de videos de Google. Y un detalle que llamó la atención fue que los correos electrónicos enviados por los hackers provenían de una dirección @youtube.com, lo que implica que el ataque de phishing se hizo por medio de una vía de comunicación oficial de la empresa.
Sin embargo, esto no implica que los hackers hayan robado una dirección de e-mail oficial para utilizarla con fines maliciosos. Lo que hicieron fue explotar el sistema que permite compartir videos por correo electrónico, obteniendo resultados peligrosamente efectivos.
Cómo se lleva a cabo el ataque
Lo que hicieron los cibercriminales fue crear canales de YouTube con nombres similares a los oficiales (YouTubeTeam, por ejemplo) y subir videos que dejaban listados como privados, por lo que el contenido no podía ser encontrado por los usuarios a través del buscador. Esos videos llevaban títulos como "Cambios en las reglas y políticas de YouTube | Revisa la descripción", con el fin de desviar a los usuarios hacia donde finalmente ocurría el phishing. Usando un enlace de Google Drive, las víctimas ingresaban a una ventana en la que se les pedían los datos de sus cuentas con la advertencia de que, si no los proporcionaban, perderían el acceso a las mismas. Una vez con las credenciales de acceso, los hackers obtenían el control del canal de YouTube de la víctima y de su cuenta de Google. Be careful. Session hijackers are now spoofing the YouTube email address! Esta campaña se concretó a través de la dirección no-reply@youtube.com, es decir, un correo electrónico oficial de YouTube. Al compartir un vídeo privado por correo electrónico, se generaba un mensaje que incorporaba el título del mismo en el asunto del e-mail. Así, las víctimas recibían un mensaje que, por ejemplo, indicaba: "YouTubeTeam te ha enviado un video: Cambios en las reglas y políticas de YouTube | Revisa la descripción". It looks like YouTube has made a change to improve this. El mensaje estaba diseñado para parecer una comunicación formal de la plataforma, y al tratarse de un correo que llegaba de un remitente oficial de YouTube, es probable que varios usuarios hayan caído en la trampa. Este tipo de método para concretar estafas vía phishing supone un cambio significativo en cuanto a las estrategias anteriores, dado que una de las principales recomendaciones para evitar ser una víctima es revisar siempre la dirección desde la cual llega un correo electrónico, cosa que en este caso no resultaba efectivo.
This is very serious. Don’t fall for it. @YouTubeLiaison pic.twitter.com/i2htCztPLH
Now the subject line of emails just says "A private video has been shared with you" instead of including the channel name and video title. https://t.co/WvLrW6j8Vz pic.twitter.com/xZdBOg7DbS