In che modo i canali di Linus Media Group sono stati vittime del dirottamento della sessione: un campanello d'allarme per la sicurezza informatica
Linus Tech Tips, un popolare canale YouTube tecnologico con oltre 15 milioni di abbonati, insieme ad altri due canali del Linus Media Group di proprietà di Linus Sebastian , è stato recentemente vittima di un debilitante attacco informatico. L'attaccante ha utilizzato una tecnica nota come dirottamento della sessione per compromettere i canali e trasmettere contenuti fraudolenti con Elon Musk che discute di criptovaluta. La cosa particolarmente preoccupante di questo incidente è che l'aggressore non aveva bisogno della password di Linus per effettuare la violazione.
In questo post del blog, approfondiremo i dettagli del dirottamento di sessione, la tecnica utilizzata dall'hacker per eseguire questo attacco. Analizzeremo anche i tempi di risposta del team di sicurezza coinvolto nella gestione dell'incidente. Inoltre, discuteremo dell'impatto del dirottamento della sessione su aziende e privati, oltre a fornire suggerimenti su come proteggersi da attacchi simili.
Comprensione del dirottamento della sessione e dei suoi meccanismi
Il dirottamento della sessione, noto anche come dirottamento dei cookie o fissazione della sessione, è un tipo di attacco informatico che comporta il furto del token di sessione di un utente. Questo token è un dato che verifica l'identità dell'utente quando accede a un sito web. Una volta che un hacker ottiene l'accesso a questo token, può impersonare l'utente ed eseguire azioni per suo conto senza richiedere alcuna autenticazione aggiuntiva, come una password.
Il processo di dirottamento della sessione è illustrato nel diagramma di sequenza seguente:
Per comprendere meglio il dirottamento della sessione, fare riferimento al codice di esempio fornito di seguito per una visualizzazione pratica del concetto. Questa sequenza di codice include funzioni che simulano il processo di creazione di un token di sessione, l'autenticazione dell'utente e l'esecuzione di azioni su un sito Web. Inoltre, illustra come un utente malintenzionato intercetta e ruba il token di sessione, impersona l'utente ed esegue azioni per suo conto senza richiedere un'ulteriore autenticazione. Questo codice è uno strumento utile per comprendere le vulnerabilità nel processo del token di sessione che gli aggressori possono sfruttare per eseguire il dirottamento della sessione.
function createSessionToken() {
console.log("Creating a session token for the user");
return "sample_session_token";
}
function authenticateUser(token) {
console.log("Authenticating user with the session token");
return token;
}
function performUserActions() {
console.log("Performing user actions on the website");
}
function interceptToken(token) {
console.log("Attacker intercepts and steals the session token");
return token;
}
function impersonateUser(token) {
console.log("Attacker impersonates the user using the stolen token");
return token;
}
function performAttackerActions() {
console.log("Attacker performs actions on the user's behalf without needing a password or other authentication");
}
function sessionHijackingExample() {
const sessionToken = createSessionToken();
authenticateUser(sessionToken);
performUserActions();
const stolenToken = interceptToken(sessionToken);
impersonateUser(stolenToken);
performAttackerActions();
}
sessionHijackingExample();
Estrazione del token di sessione: uno sguardo alla violazione dei suggerimenti tecnici di Linus
Nell'incidente di Linus Tech Tips, uno dei dipendenti di Linus ha scaricato involontariamente malware quando ha tentato di accedere a un file PDF. Successivamente il malware ha estratto il token di sessione dal browser del dipendente e lo ha trasmesso all'aggressore. Con il token rubato in loro possesso, l'attaccante potrebbe inviare richieste autenticate come Linus, aggirando di fatto la necessità di una password o di un'autenticazione a due fattori. Per comprendere meglio come è avvenuto questo attacco, fare riferimento al diagramma allegato, che delinea visivamente la sequenza degli eventi che si sono verificati durante la violazione.
Sulla base del flusso di lavoro di cui sopra e del codice educativo, possiamo descrivere il dirottamento della sessione utilizzato per attaccare il canale YouTube di Linus Tech Tips come segue:
function downloadPDF() {
console.log("Employee attempts to download a PDF file");
return false;
}
function downloadMalware() {
console.log("Malware is downloaded instead of the PDF file");
return true;
}
function infectBrowser() {
console.log("Malware infects the employee's browser");
}
function extractSessionToken() {
console.log("Malware extracts the session token from the browser");
return "sample_session_token";
}
function sendTokenToAttacker(token) {
console.log("Malware sends the session token to the attacker");
return token;
}
function attackerAuthenticates(token) {
console.log("Attacker uses the session token to authenticate as Linus");
return token;
}
function attackerSendsRequests() {
console.log("Attacker sends requests to the website without needing a password or two-factor authentication");
}
function linusTechTipsIncident() {
const isPDFDownloaded = downloadPDF();
if (!isPDFDownloaded) {
const isMalwareDownloaded = downloadMalware();
if (isMalwareDownloaded) {
infectBrowser();
const sessionToken = extractSessionToken();
const stolenToken = sendTokenToAttacker(sessionToken);
attackerAuthenticates(stolenToken);
attackerSendsRequests();
}
}
}
linusTechTipsIncident();
Svelare le fasi degli hack del canale YouTube
Canali tecnologici sotto attacco
Canali tecnologici sotto attacco L'attacco ai canali YouTube è iniziato quando l'account Linus Tech Tips è stato rinominato Tesla ("testlaonline1") e ha iniziato a trasmettere in streaming una registrazione in stile podcast di Elon Musk che discuteva di criptovaluta (vedi l'istantanea sotto).
Primo avviso urgente
Linus Tech Tips combatte contro gli attacchi informatici
Il proprietario del canale, Linus Sebastian, inizialmente ha tentato di mitigare l'attacco rendendo privati i flussi, revocando la chiave del flusso del canale e reimpostando le credenziali dell'account.
Nonostante gli sforzi del proprietario per mitigare l'attacco rendendo privati i flussi, revocando la chiave di flusso del canale e reimpostando le credenziali dell'account, l'aggressore è stato in grado di riottenere rapidamente l'accesso e riprendere i live streaming. Questo avanti e indietro è continuato per alcune ore, durante le quali gli account Linus Tech Tips , Tech Linked e Techquickie sono stati utilizzati per ospitare i flussi crittografici di Elon Musk.
Modus Operandi della truffa dell'omaggio crittografico
Anche se i flussi non erano di per sé truffe, erano collegati a un sito Web ingannevole che prometteva di raddoppiare i guadagni per ogni Bitcoin inviato. L'attacco consisteva in più fasi.
I truffatori hanno progettato un sofisticato sito Web di phishing che affermava di offrire un omaggio in criptovaluta da $ 100 milioni e ha indotto i partecipanti a inviare le proprie risorse crittografiche a indirizzi specifici con la promessa di raddoppiare i loro investimenti. Le figure seguenti forniscono maggiori dettagli.
I truffatori
I truffatori sono stati in grado di raccogliere una notevole quantità di fondi attraverso il dirottamento della sessione, senza restituire nulla alle vittime. L'analisi dei registri delle transazioni ha rivelato che sono stati in grado di rubare $ 5.170,65 USD di Ethereum (al netto delle commissioni), $ 293,91 USD di Dogecoin e $ 1.450,55 USD di Bitcoin, per un totale di $ 6.915,11 USD. Di seguito, vedi un elenco dettagliato delle transazioni:
Fine della scansione
Un portavoce di YouTube ha confermato di aver collaborato con il team Linus Tech Tips per proteggere e ripristinare il proprio account dopo essere stato avvisato dell'accesso non autorizzato. Dopo alcune ore, gli account sono stati cancellati. Tuttavia, sono stati ripristinati pochi giorni dopo allo stato precedente all'attacco informatico.
Analisi forense
Dopo aver raccolto le informazioni di cui sopra sulle fasi dell'hacking del canale YouTube, è necessario analizzare l'attacco in dettaglio per capire cosa è successo e quali misure possono essere prese per prevenire situazioni simili in futuro.
Il punto di compromesso
Dalla descrizione di cui sopra, il dirottamento della sessione può essere principalmente semplificato come segue:
Esaminando il livello di attività sia del proprietario del canale che dell'aggressore, le domande chiave da considerare sono: chi era l'obiettivo, qual era la motivazione dietro l'attacco e qual era il ruolo del proprietario della piattaforma o del team di sicurezza durante l'incidente?
Obiettivo e motivazione
L'attacco Session Hijacking mirava specificamente a prendere di mira gli investitori in criptovalute. In sintesi, la minaccia può essere descritta come segue:
Il diagramma illustra le connessioni tra gli autori, gli hacker sconosciuti o il gruppo di hacker e i truffatori coinvolti nell'attacco. Gli hacker hanno utilizzato tecniche come token di sessione sfruttati e misure di sicurezza convenzionali aggirate per prendere di mira i canali YouTube. Nel frattempo, i truffatori hanno creato un sito Web di phishing per indurre gli investitori crittografici a inviare i propri beni a indirizzi specifici. Il motivo alla base di entrambi i gruppi era il guadagno finanziario, come indicato dai loro collegamenti con i rispettivi autori. L'impatto dell'attacco ha provocato la perdita del controllo sui canali YouTube, lo streaming di contenuti fraudolenti, potenziali perdite finanziarie e la raccolta non autorizzata di criptovalute da investitori ingannati. I truffatori sono riusciti a truffare circa $ 7.000 attraverso la loro campagna di phishing.
Processo di risposta agli incidenti
A questo punto, cercheremo di raccogliere tutte le informazioni disponibili fornite dal Channel Owner . Tuttavia, dobbiamo prestare attenzione in quanto non ci sono informazioni aggiuntive fornite dalla consociata di Google YouTube, che è responsabile della sicurezza e delle risposte agli incidenti
Sulla base delle informazioni analizzate e raffinate, abbiamo tratto le seguenti intuizioni degne di nota:
Approfondimenti derivati dalle informazioni analizzate e raffinate
1. Il team di sicurezza ha ricevuto una notifica formale dell'attacco 20 minuti dopo che Linus Sebastian, il proprietario, ne era stato informato. Tuttavia, si ritiene che il dirottamento della sessione sia avvenuto quasi 1 ora prima. Ciò fa sorgere la domanda: YouTube non può monitorare i canali con milioni di iscritti in tempo reale e applicare protocolli di sicurezza e strumenti di sorveglianza per scongiurare gli attacchi?
2. Stephen Burke è stato il primo individuo a rilevare l'hacking. Ciò porta alla domanda: in che modo Stephen è venuto a conoscenza dell'hacking e quali prove hanno portato alla luce questa scoperta?
3. Un'ulteriore domanda che emerge è: perché Linus Sebastian ha tentato di rimuovere tutto indipendentemente? Ha affermato di non sapere come eliminare le credenziali da solo, ma ha svolto varie attività relative all'IT per diverse ore.
4. Comprendere la tipica procedura standard di YouTube per la gestione di tali incidenti è fondamentale. Non esistono meccanismi di registrazione relativi al GPS o altre misure stabilite per tracciare e impedire l'accesso non autorizzato?
Impatto finanziario:
Il Linus Media Group genera circa $ 1.592.032 al mese da YouTube AdSense, con un importo che varia a seconda del numero di visualizzazioni video ricevute in un dato mese. Ciò si traduce in circa $ 52.067 al giorno e $ 2.169 all'ora. I guadagni per il mese più recente sarebbero stati vicini a questa stima, come suddiviso nei seguenti dettagli:
Durante le 5,1 ore dell'attacco, il Linus Media Group ha perso circa 11.061,9 dollari. Dopo che i canali sono stati chiusi per quasi due giorni, si sono verificate ulteriori perdite. Ci sono 24 ore in un giorno, quindi due giorni equivalgono a 48 ore. Per calcolare la perdita di reddito durante questo periodo, moltiplica il reddito orario per il numero di ore in cui il canale è stato chiuso: $ 2.169 all'ora * 48 ore = $ 104.112
In sintesi, durante l'attacco di 5,1 ore e la successiva chiusura di due giorni dei canali, Linus Media Group ha perso un totale di circa $ 115.173,9 di potenziali entrate AdSense di YouTube.
Per scopi didattici, vedere il codice Lua di seguito per calcolare la perdita di reddito durante l'attacco informatico e la chiusura del canale. Tieni presente che non abbiamo incluso la potenziale perdita di follower o danni alla reputazione come conseguenza di questo evento. Questa analisi della sicurezza informatica è destinata esclusivamente a scopi didattici.
Lezioni imparate
Il proprietario del canale si è reso conto dell'importanza di potenziare la formazione e i processi all'interno della propria organizzazione per evitare attacchi futuri. Ha sottolineato diversi aspetti chiave che potrebbero contribuire a rafforzare la sicurezza del suo canale:
Formazione e processi migliorati : è fondamentale informarsi sulle potenziali minacce alla sicurezza, sulle best practice e sulle ultime tendenze della sicurezza informatica. Sessioni di formazione regolari, workshop e simulazioni possono aiutare a sensibilizzare e promuovere una cultura della sicurezza proattiva. Ciò include insegnare a se stessi come riconoscere i tentativi di phishing, utilizzare password complesse e univoche e segnalare attività sospette.
Opzioni di sicurezza migliorate per gli attributi del canale : il proprietario del canale ha suggerito di implementare misure di sicurezza aggiuntive per le funzionalità critiche del canale, come il controllo degli accessi, i caricamenti di video e le impostazioni di live streaming. Ciò può essere ottenuto introducendo autorizzazioni granulari e accesso basato sui ruoli per limitare i potenziali vettori di attacco e ridurre al minimo il rischio di accesso non autorizzato.
Limitazione della velocità e richieste di autenticazione ⌛: la limitazione della velocità limita la frequenza di determinate azioni, come i tentativi di accesso, entro un periodo di tempo specifico. Questo può aiutare a prevenire attacchi di forza bruta e ridurre la probabilità di accessi non autorizzati. Inoltre, l'implementazione di richieste di autenticazione per azioni specifiche, come la modifica delle impostazioni dell'account o l'avvio di live streaming, aggiunge un ulteriore livello di sicurezza per confermare l'identità dell'utente.
Norme robuste sui token di sessione ️: i token di sessione vengono utilizzati per autenticare gli utenti durante le loro sessioni di navigazione e possono essere vulnerabili al dirottamento se non adeguatamente protetti. Il proprietario del canale ha proposto di implementare la scadenza basata sul tempo per i token di sessione, che disconnette automaticamente gli utenti dopo un periodo di inattività predeterminato, riducendo la finestra di opportunità per gli aggressori. Anche l'autenticazione basata sulla posizione, che richiede agli utenti di verificare la propria identità quando accedono al canale da una nuova posizione o dispositivo, può aiutare a prevenire l'accesso non autorizzato.
Si noti che la potenziale perdita di follower o il danno reputazionale come conseguenza di questo evento non è stata inclusa. Questa analisi della sicurezza informatica è destinata esclusivamente a scopi didattici. Affrontando queste aree, il proprietario del canale spera di creare un ambiente più sicuro ️ per il proprio canale e mitigare il rischio di futuri attacchi informatici ️.
Considerazioni per i proprietari di piattaforme e canali
Vorrei raccomandare che sia il team di sicurezza responsabile della protezione del canale sia il proprietario della piattaforma (YouTube) adottino le seguenti misure:
️ Dai priorità alla sicurezza: questo incidente sottolinea l'importanza di dare priorità alla sicurezza, in particolare per canali e account di alto profilo. L'implementazione di protocolli di sicurezza e strumenti di monitoraggio può aiutare a prevenire o mitigare gli attacchi.
Aggiorna regolarmente le credenziali: è essenziale che il proprietario del canale aggiorni e modifichi frequentemente password e altre credenziali per scoraggiare l'accesso non autorizzato. In questo caso, Linus Sebastian ha avuto difficoltà a rimuovere le credenziali dopo l'attacco, suggerendo che potrebbero non essere state aggiornate regolarmente.
Avere un piano di risposta formale: lo sviluppo di un piano di risposta formale può aiutare a ridurre i danni causati da un attacco e garantire che il proprietario del canale sia consapevole dei propri ruoli e responsabilità. Questo può anche prevenire confusione e ritardi nella comunicazione, che sono cruciali durante un incidente.
Monitora attentamente i canali: sebbene possa essere difficile monitorare i canali con milioni di iscritti in tempo reale, è fondamentale monitorarli attentamente e rispondere rapidamente a qualsiasi attività sospetta o accesso non autorizzato.
️ Sii trasparente e comunica con gli spettatori: a seguito di un attacco o di un incidente di sicurezza, è importante che il proprietario del canale mantenga la trasparenza con gli spettatori e comunichi eventuali aggiornamenti o informazioni sulla situazione. Questo può aiutare a preservare la fiducia e prevenire la diffusione di speculazioni o voci.
Aderendo ai punti sopra menzionati, le organizzazioni e gli individui possono proteggere meglio i propri canali e account da potenziali attacchi informatici.
Grazie per aver dedicato del tempo a leggere questo post del blog. Il tuo feedback è molto apprezzato in quanto mi aiuta a migliorare continuamente i miei contenuti. Il tuo contributo è prezioso per me e non vedo l'ora di sentirti. Grazie ancora per il vostro sostegno e per far parte di questa comunità.