Gli esperti di sicurezza informatica di Malwarebytes hanno scoperto una campagna di phishing molto convincente che prende di mira le credenziali di accesso a Google tramite false notifiche YouTube. Nello specifico, i criminali sfruttano un falso avviso di violazione del copyright particolarmente convincente che sta facendo cadere nella trappola anche gli utenti più attenti alla sicurezza.
“Il sito di attacco recupera i dati reali del tuo canale, come l’immagine del profilo, il numero di iscritti e l’ultimo video, per creare una pagina allarmistica personalizzata. Ti reindirizza poi verso una pagina di accesso progettata per rubare i dati del tuo account Google“, spiegano gli esperti. Infatti, YouTube è un servizio streaming gestito da Google. Per questo i cybercriminali riescono ad accedere al tuo account.
Le false notifiche riportano sulla pagina del web la dicitura: “YouTube | Avvisi di violazione del copyright“. La pagina stessa ha un aspetto pulito e professionale, con loghi, icone e grafiche che richiamano YouTube stesso. “Verifica subito lo stato dei diritti d’autore sul tuo canale YouTube“, recita il messaggio. “Rispondete entro tre giorni, pena l’adozione di misure coercitive“.
Anche in questo caso, in puro stile phishing, il senso di urgenza lo fa da padrone. Infatti, la vittima viene spinta ad agire immediatamente per non perdere il suo canale dal quale ricava comunque denaro.
La pagina aumenta la pressione. Un avviso ti informa che l’eliminazione del video non cancellerà la segnalazione. Un messaggio in rosso ti avverte che, se non rispondi entro tre giorni, il tuo canale sarà soggetto a provvedimenti disciplinari. La soluzione proposta è semplice: accedi con Google per confermare di essere il proprietario del canale e la segnalazione verrà risolta entro 24 ore.
Gli indicatori di compromesso delle false notifiche YouTube
Vediamo quindi gli indicatori di compromesso delle false notifiche YouTube di questa campagna phishing, per evitare di cadere nella loro trappola insidiosa.
- dmca-notification[.]info (sito principale di phishing)
- blacklivesmattergood4[.]com (dominio utilizzato per il furto di credenziali — attivo al momento della rilevazione)
- dopozj[.]net (infrastrutture correlate — 502 al momento della rilevazione)
- ec40pr[.]net (infrastrutture correlate — 502 al momento della rilevazione)
- xddlov[.]net (infrastrutture correlate — 502 al momento della rilevazione)
