YouTube đã trở thành kênh khai thác quan trọng của tội phạm mạng

Theo một báo cáo mới đây của Avast, xem xét bối cảnh các mối đe dọa mạng từ tháng 1 đến tháng 3/2024, các vụ lừa đảo, tấn công giả mạo (phishing) và quảng cáo độc hại chiếm 90% tổng số mối đe dọa trên thiết bị di động và 87% mối đe dọa trên máy tính để bàn.

Bên cạnh đó, nhóm nghiên cứu cũng đã phát hiện sự gia tăng đáng kể các vụ lừa đảo sử dụng các chiến thuật tinh vi như công nghệ deepfake, đồng bộ hóa âm thanh do AI điều khiển và chiếm quyền điều khiển YouTube cùng các kênh mạng xã hội khác để phát tán nội dung lừa đảo.

Tội phạm mạng sử dụng video làm mồi nhử

Mặc dù tất cả các nền tảng xã hội đều là mảnh đất màu mỡ cho các chiến dịch lừa đảo, nhưng YouTube đã trở thành một kênh quan trọng cho tội phạm hoạt động.

Theo dữ liệu từ Avast, 4 triệu người dùng riêng biệt đã được bảo vệ khỏi các mối đe dọa trên YouTube trong năm 2023 và khoảng 500.000 người dùng đã được bảo vệ trong khoảng thời gian từ tháng 1 đến tháng 3/2024.

Các hệ thống quảng cáo tự động kết hợp với nội dung do người dùng tạo ra cung cấp một cửa ngõ cho tội phạm mạng vượt qua các biện pháp bảo mật thông thường, biến YouTube trở thành một kênh tiềm năng để triển khai các chiến dịch tấn công lừa đảo và lây nhiễm phần mềm độc hại.

Các mối đe dọa đáng chú ý trên nền tảng này bao gồm các chương trình đánh cắp thông tin xác thực như Lumma và Redline, các trang lừa đảo và phần mềm độc hại được ngụy trang dưới dạng phần mềm hoặc bản cập nhật hợp pháp.

Ngoài ra, tin tặc cũng đã chuyển sang dùng video để làm mồi nhử. Từ cảnh quay có sẵn hay một bản deepfake phức tạp, tội phạm mạng sử dụng tất cả các loại video trong các chiến dịch lừa đảo của chúng. Một trong những kỹ thuật phổ biến nhất là lợi dụng các nhân vật nổi tiếng và các sự kiện truyền thông quan trọng để thu hút lượng lớn khán giả.

Cụ thể, các chiến dịch này thường sử dụng video deepfake, được tạo ra bằng cách chiếm đoạt video chính thức từ các sự kiện và sử dụng công nghệ trí tuệ nhân tạo (AI) để thao tác đồng bộ âm thanh. Những video này kết hợp một cách tinh vi âm thanh đã chỉnh sửa với hình ảnh hiện có, khiến người xem khó phát hiện ra chúng không phải là thật.

Ngoài ra, YouTube còn được tội phạm mạng khai thác vai trò là kênh dẫn đến hệ thống phân phối lưu lượng truy cập, hướng mọi người đến các trang web độc hại và hỗ trợ các hoạt động lừa đảo từ tặng quà giả cho đến các kế hoạch đầu tư.

Các chiến thuật lừa đảo phổ biến trên YouTube

Các chiến dịch phishing nhắm mục tiêu vào người sáng tạo: Kẻ tấn công gửi email được cá nhân hóa đến người sáng tạo YouTube, đề xuất các cơ hội hợp tác. Sau khi đã tạo dựng được lòng tin, chúng sẽ gửi liên kết phần mềm độc hại dưới vỏ bọc phần mềm cần thiết cho sự hợp tác, hoạt động này sẽ dẫn đến hành vi đánh cắp cookie hoặc xâm phạm tài khoản.

Video giả dạng phần mềm tiện ích: Kẻ tấn công tải lên những video với mô tả chứa các liên kết độc hại, giả dạng các phần mềm tiện ích liên quan đến trò chơi, công cụ năng suất, hoặc thậm chí là chương trình chống virus, lừa người dùng tải xuống phần mềm độc hại.

Chiếm quyền điều khiển kênh để lừa đảo: Bằng cách giành quyền kiểm soát kênh YouTube thông qua phishing hoặc phần mềm độc hại, tội phạm mạng sử dụng các kênh này để quảng bá các hoạt động lừa đảo - như lừa đảo tiền điện tử, thường liên quan đến các hoạt động tặng quà giả mạo rồi yêu cầu người xem gửi tiền đặt cọc ban đầu.

Lợi dụng các thương hiệu phần mềm và các tên miền trông có vẻ hợp pháp, uy tín: Những kẻ tấn công tạo ra các trang web giả mạo các công ty có uy tín mà mọi người tin tưởng và cung cấp phần mềm có thể tải xuống chứa các liên kết hoặc phần mềm độc hại.

Lừa đảo qua nội dung video: Tội phạm mạng đăng video hướng dẫn hoặc chào bán phần mềm được bẻ khóa, hướng dẫn mọi người tải xuống phần mềm độc hại được ngụy trang dưới dạng công cụ hữu ích.

Chiến thuật này lợi dụng những người đang tìm kiếm quyền truy cập miễn phí vào các dịch vụ hoặc phần mềm phải trả phí, tận dụng các thuật toán tìm kiếm và đề xuất của YouTube để nhắm mục tiêu vào các nạn nhân tiềm năng.

Sự gia tăng của mô hình phần mềm độc hại dưới dạng dịch vụ (Malware-as-a-Service - MaaS)

Với sự bùng nổ của các vụ lừa đảo, tội phạm mạng đang tận dụng cơ hội kinh doanh mới: MaaS. Thông qua mô hình này, các nhóm tội phạm có tổ chức có thể chiêu mộ những tội phạm nhỏ lẻ muốn kiếm tiền nhanh chóng bằng cách phân phối phần mềm độc hại.

Những tội phạm này có thể mua, đăng ký hoặc chia sẻ lợi nhuận hoa hồng để có thể truy cập vào cơ sở hạ tầng phần mềm độc hại.

Theo Avast, loại phần mềm độc hại phổ biến nhất được sử dụng trong MaaS là các chương trình đánh cắp thông tin đang tiếp tục tìm kiếm các kênh phân phối mới.

Ví dụ, DarkGate đã được phát hiện lây lan qua Microsoft Teams, bằng hình thức phishing. Lumma Stealer, một chương trình đánh cắp thông tin khác trong MaaS, tiếp tục lan truyền qua phần mềm bẻ khóa được phát tán trên YouTube, sử dụng các hướng dẫn giả để đánh lừa nạn nhân.

Điều này cho thấy các chủng loại phần mềm độc hại này và những người tạo ra chúng, không bao giờ bỏ lỡ cơ hội sử dụng hình thức tấn công phi kỹ thuật để phát tán phần mềm độc hại.

“Trong quý đầu tiên của năm 2024, chúng tôi đã báo cáo tỷ lệ rủi ro mạng cao nhất từ trước đến nay - nghĩa là khả năng bất kỳ cá nhân nào trở thành mục tiêu của một cuộc tấn công mạng là cao nhất”, Jakub Kroustek, Giám đốc nghiên cứu phần mềm độc hại tại Gen chia sẻ. “Thật không may, con người là mắt xích yếu nhất trong chuỗi an toàn kỹ thuật số và tội phạm mạng biết điều đó. Chúng lợi dụng cảm xúc của con người và sự tìm kiếm kiến thức để thâm nhập vào cuộc sống cũng như các công cụ của người dùng nhằm thu lợi tài chính bất hợp pháp”./.