รายงานใหม่ที่แบ่งปันโดยฝ่ายวิเคราะห์ด้านภัยคุกคามทางไซเบอร์ (TAG) ของ Google เผยถึงแคมเปญฟิชชิ่งของมิจฉาชีพที่กำลังโจมตีนักทำคอนเท้นบน YouTube อย่างต่อเนื่อง ซึ่งมักส่งผลให้เกิดความเสียหายต่อนักลงทุนคริปโตเป็นวงกว้าง
TAG ระบุถึงการโจมตีของกลุ่มแฮ็กเกอร์ที่ได้รับคัดเลือกในฟอรัมภาษารัสเซีย ซึ่งแฮ็กช่องของคอนเท้นครีเอเตอร์ด้วยการแสร้งทำเป็นเสนอโอกาสในการทำงานร่วมกันแบบปลอม ๆ ก่อนที่จะทำการแย่งชิงช่อง YouTube ของนักทำคอนเท้น และนำไปขายให้กับมิจฉาชีพเหรียญคริปโต
“ช่องที่ถูกแย่งชิงจำนวนมากถูกรีแบรนด์สำหรับการสตรีมวีดีโอหลอกลวงให้ผู้ติดตามโอนเหรียญคริปโตไปตาม address ของมิฉาชีพ โดยราคาของช่องที่ถูกขโมยมาและตั้งขายในตลาดนั้นมีตั้งแต่ 3 ดอลลาร์สหรัฐ ถึง 4,000 ดอลลาร์สหรัฐ ขึ้นอยู่กับจำนวนสมาชิก”
มีรายงานว่าบัญชี YouTube บางส่วนถูกแฮ็กโดยใช้มัลแวร์ขโมยคุกกี้ ซึ่งเป็นซอฟต์แวร์ปลอมที่กำหนดค่าให้ทำงานบนคอมพิวเตอร์ของเหยื่อโดยไม่ถูกตรวจจับ นอกจากนี้ TAG ยังรายงานด้วยว่าแฮ็กเกอร์ยังเปลี่ยนชื่อ รูปโปรไฟล์ และเนื้อหาของช่อง YouTube เพื่อปลอมแปลงเป็นบริษัทเทคโนโลยีขนาดใหญ่หรือบริษัทแลกเปลี่ยนคริปโตเคอเรนซีอีกด้วย
ตามที่ Google กล่าว “ผู้โจมตีทำการสตรีมวิดีโอที่สัญญาว่าจะแจกของรางวัล cryptocurrency เพื่อแลกกับการโอนเหรียญเพื่อเข้ามาสนับสนุนเบื้องต้น” ปัจจุบันทางบริษัทได้ลงทุนในเครื่องมือในการตรวจหาและบล็อกอีเมลฟิชชิ่ง, การขโมยคุกกี้ และการสตรีมวีดีโอหลอกลวงด้านคริปโต
ด้วยความพยายามอย่างต่อเนื่อง Google จึงสามารถลดปริมาณอีเมลฟิชชิ่งของ Gmail ลงได้ 99.6% ตั้งแต่เดือนพฤษภาคม 2564 “ด้วยความพยายามในการตรวจจับที่เพิ่มขึ้น เราสังเกตเห็นว่าผู้โจมตีเปลี่ยนจาก Gmail ไปยังผู้ให้บริการอีเมลรายอื่น (ส่วนใหญ่เป็น email.cz, seznam. cz, post.cz และ aol.com)” บริษัทกล่าวเสริม
Google ได้แบ่งปันข้อค้นพบข้างต้นกับสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ของสหรัฐอเมริกาเพื่อการสอบสวนเพิ่มเติม
มีรายงานว่าที่อยู่อีเมลของผู้ใช้มากกว่า 3.1 ล้าน (3,117,548) รั่วไหลจากเว็บไซต์ติดตามราคาคริปโต CoinMarketCap
เว็บไซต์ Have I Been Pwned ที่ทุ่มเทให้กับการติดตามการแฮ็กออนไลน์ พบว่าที่อยู่อีเมลที่ถูกแฮ็กนั้นมีการถูกนำไปปล่อยขายแบบออนไลน์บนแพลทฟอร์มต่าง ๆ
หนึ่งในนั้นก็คือ CoinMarketCap ที่ทราบถึงความสัมพันธ์ของข้อมูลที่รั่วไหลกับฐานผู้ใช้ของพวกเขา แต่ยืนยันว่าไม่พบหลักฐานการแฮ็กบนเซิร์ฟเวอร์ภายในของพวกเขา:
“เนื่องจากไม่มีรหัสผ่านรวมอยู่ในข้อมูลที่เราเห็น เราเชื่อว่าน่าจะมาจากแพลตฟอร์มอื่นที่ผู้ใช้อาจนำรหัสผ่านมาใช้ซ้ำในหลายไซต์”