志祺七七
2020.08.18

26萬訂閱的YouTube頻道被盜了?面對網路釣魚攻擊可以怎麼做?《YouTube觀察日記》EP036|志祺七七

各節重點:
00:00 前導
01:33 駭客是怎麼入侵的?
03:36 防不勝防的釣魚攻擊
05:24 每個人都可以做到的三件事
07:18 感覺越重要的資訊 越要提高警覺
08:32 該如何避免被釣魚?
09:47 我們的觀點
11:49 結尾


---【 影片口白逐字稿 】---


想像一下,如果你今天花了三年的時間認真經營頻道,達到了一個近 30 萬的訂閱數,結果它卻在一夕之間被盜。竊賊不只刪掉過去所有的影片,甚至還被上傳詐騙的影片,過沒多久,整個頻道就被人檢舉下架。在一瞬之間,你三年的努力就這樣灰飛煙滅。好不容易打造起來的團隊,也要突然面對收入歸零的危機。

剛剛講的,並不是虛構故事,而是一個在上週真實發生的事件。
今天,就讓我們一起來聊聊,最近讓 YouTuber 們都十分緊張的「駭客入侵頻道事件」吧!

-

hiho~大家好,我是志祺。

大概是在上週吧,我們頻道收到了一封來自秀煜 Show You 頻道的信,他在信裡告訴我們,他們的頻道在 8 月 8 日的時候,遭到了駭客入侵,並被更改了密碼、手機以及 Email 的驗證方式。然後 8 月 9 日的時候,駭客更改了頻道名稱及頭像,同時也刪除了 3 年來他們所上傳的影片,最後甚至還用他們的頻道,直播一些違反 YouTube 使用條款的內容,導致他們的頻道被停權。一個 26 萬的頻道就這樣不見,真的是嚇爆我們,也因此我們決定要做這集影片來跟大家分享一下這個事件,希望讓更多人知道,不再有人受害。

那首先,就讓我們來看看,整件事情是怎麼發生的吧!


-

【駭客是怎麼入侵的?】

根據秀煜 Show You 寄給我們的信件說明,這次被駭客入侵的整件事情是這樣發生的。

在頻道被駭入的前兩天,他們收到了一則合作邀約的信件,希望他們可以製作短片,來推廣廠商提供的產品,那在信裡也附上了產品的連結。而這個連結連到的,是一個真實的修圖軟體的連結,所以當下他們並沒有察覺任何的異狀。但接下來,這個廠商在信裡就提到說:「我們這次要推廣的,是這個軟體的最新版本的新功能,並非正式網站上所提供的版本」,因此就提供了最新版本的下載檔案給他們。

那秀煜他們當然就覺得,啊,好喔,是新版本,那就下載下來試用看看吧。就這樣下載下來點開以後,卻發現沒有跑出任何的安裝程序,那這時秀煜他們才意識到不對勁,應該是被騙了。但這時,已經來不及了。因為在短短的幾分鐘內,駭客就已經透過這個病毒檔案,繞過了原先設置的雙重認證,並且更改了頻道密碼、手機、備用郵箱以及雙重認證設定,然後他們就再也登不進去頻道了。而最後就像剛剛講的,他們過去的所有影片都被刪除,三年來的努力化為烏有。

那他們也因為這件事情,才發現,駭客入侵YouTube頻道的事情,在世界各地都在發生,尤其是近期開始陸續在亞洲地區也出現這樣的事。因此他們就寫這封信給許多YouTuber們,希望能提醒台灣的創作者們要提高警覺,不要發生像他們一樣的事情。

那在這邊我們想說的是,有的,非常感謝你們的提醒,我們真的是超級提高警覺!也花點時間做功課研究,所以接下來,我們想把研究的結果和心得分享給大家。

【防不勝防的釣魚攻擊】

我們團隊收到這封信以後,就討論了一下內部的流程,也想了一下,如果這件事情發生在我們身上,我們會不會一樣被騙,結果發現,還真的有點沒把握。這是因為這次駭客攻擊的手法,比較不是大家平常都可能遇過的,那種說你被盜,然後要你改密碼的釣魚連結,反而是包在一個業配合作的需求底下,然後是用惡意程式的方式來入侵。

那這種攻擊方式,正好就很容易打中有規模的YouTube頻道。因為只要訂閱數到了某個程度之後,真的就是會一直收到各式各樣的業配合作詢問。那裡面的商品或服務,真的是五花八門、各種東西都有,有的會把說明直接寫在信裡,但也有很多人會用附件的方式提供資訊。

那尤其我們從秀煜他們,在後來開的臨時頻道拍的影片裡面看到,原來駭客當時拿到頻道以後,把所有影片刪除,然後直播的內容,其實是假冒成NASA以及特斯拉老闆Elon Musk的名義,說是要大放送比特幣跟以太幣這些加密貨幣。但放送的方式,是觀眾必須要先把比特幣跟以太幣傳送到駭客指定的地址,他們才會回傳10倍的比特幣跟以太幣這樣。

那這就可以看得出來,他們應該是有心針對一定規模以上的頻道去釣魚攻擊的,因為到手的高訂閱頻道,改個名字跟縮圖以後,看起來好像還真的是個「有公信力的頻道」的感覺,那如果有些人比較沒有警覺心的話,就有可能被騙到,而把比特幣跟以太幣傳給駭客,那想當然,是不會有人回傳的。

那我相信,這些釣魚攻擊的對象,或這種攻擊的套路,不只是 YouTube 創作者需要警覺,不管你是一般學生,或是各種公司內部的業務人員,同樣都有可能會在無意之間陷入資安的危險。所以說我們也整理了一些,比較實用的提醒跟SOP給大家。


-

【每個人都可以做到的三件事】

首先呢,有幾件最基本的事情請大家一定要做到的,那就是,顧好你的email信箱。

這是因為,我們登入許多網站或服務時,都是透過email當作帳號、或者是收發重要通知的管道。那假如駭客掌握了你的 email,他就可以去所有網站輸入你的信箱,再點選「忘記密碼」,那些網站又把新的登入資訊寄到這個被駭的email信箱......,換句話說,駭客不只偷了你的信箱,也可能同時拿走你在各大網站跟平台的帳號密碼。

那要怎麼顧好信箱呢?有三件大家一定都可以做到的事情。

第一個是,密碼要是獨一無二的,避免別人只要知道你一個密碼,就可以到處試不同的網站,然後暢行無阻。那最好這個密碼也要長一點,比方說shasha77 is the best channel in the world,然後你再把裡面的a替換成@,把i替換成1,變成「這樣」(舉例:sh@sh@77 1s the best ch@nnel 1n the world ),就會是蠻好的密碼。

第二件事情是,一定要開啟雙重認證,或者說兩階段認證,那不管是用手機,或者是單獨的認證app,甚至是高強度的實體安全金鑰,這些都能夠確保,即使有人知道了你的密碼,也沒辦法輕易地登入你的帳號。

第三個則是需要稍微養成一下的習慣,那就是,一定不要在公共或別人的裝置上面,記住自己的登入狀態。這是因為一旦記住了,那前面兩個安全的保險等於都被打開,這樣有心人士就可以直接進入你的帳號跟信箱了。

所以說,如果是自己的電腦或手機,為了方便記憶一下,還比較沒關係,但如果你去別人家、圖書館、影印店印東西,那千萬、千萬,不要記住帳密資訊,也千萬、千萬,用完要記得登出,這真的非常重要。那除了這些基本的以外,大家也可以再看看進階一點的,每個人都可以學起來的防釣魚方式。


-

【感覺越重要的資訊 越要提高警覺】

首先如果要避免被釣魚,那你必須要有意識到,這可能是釣魚信件,你才有可能會提高警覺心。那要怎麼判斷才好呢?大家可以記住一個訣竅是,你看起來感覺越重要的信跟私訊訊息,就要越提高警覺,心中的警鈴一看到就要一直響。

大家想想看,如果你今天收到的一封信,就像蔡阿嘎上次收到的那封一樣,裡面寫說,我是多哥共和國的大律師,你有一個親人有9000萬美金的遺產要轉交給你,那你應該會覺得,這殺小,看起來太假了,根本就詐騙吧。但如果今天你突然收到的是Google、是Facebook、是Apple、是Netflix這些公司寄給你的通知,裡面寫著,張志祺您好,我們發現你的帳號有異常活動,請儘速確認是否是你本人,如有疑慮,請點擊下方連結更改密碼。

那這種時候,大家的反應,通常就會很緊張,然後下意識地,就會點選那個連結,那不好意思,你可能就這樣被釣到了。所以說,看到越緊急、你覺得越重要的通知,就越要提高警覺,因為壞人就是會利用你的緊張、怕被盜的情緒,反過來讓你被盜,不得不說,真的是非常符合人性。

那提高警覺以後,該如何確認到底是不是釣魚勒?有幾個方式可以檢查喔。


-

【該如何避免被釣魚?】

如果你真的收到一封信,你覺得看起來很像真的在警告跟通知你,那你可以先點開「寄件人」的資訊,看看這個來信的地址,是不是一個「合理的地址」。比方說如果是Google的來信,那他應該就會是 @google.com 的結尾,而不是各種奇奇怪怪的亂碼,因為他有可能會把自己的名字改的很像Google官方,但是email地址是比較難假冒的,那如果地址看起來不像官方的地址,這封信可能就會是釣魚信件了。

那還有一個訣竅是,如果你不太會判斷真假email,或者即使你判斷完是假的,但你還是很疑惑、很擔心、很想知道你到底有沒有被盜,那你還是可以去確認看看,但千萬不要透過這封信的連結點進去確認,因為你很有可能會被帶到一個冒牌的網站、他會偷偷記下你的密碼。那最好的方式,就是正常打開一個新的視窗,然後登入你要確認的網站,比方說如果是Facebook通知你,那你就去Facebook的帳號後台去看看登入的動態,有沒有什麼可疑的資訊,那也可以馬上把密碼改掉,確認有沒有什麼東西有異常。

總而言之,只要做好這些,然後不要亂點「你不知道是什麼東西」的那些連結,就比較有機會避免被駭客盜帳號。

【我們的觀點】

說到這裡,我想要再聊聊我自己的想法。剛剛前面介紹的那些資訊,比方說兩階段驗證這種,很多人可能覺得這不是很簡單嗎?但其實對一些人,尤其是比較不熟悉電腦跟資訊設備的長輩來說,學習門檻其實是蠻高的。畢竟這些感覺都是「很難」的東西、而且感覺一不小心就會「弄錯」跟「弄壞」,然後就會被罵,所以很多人可能就會下意識地想說,不要去碰好了。

但這些基本的安全設定,真的不難,而且都是小小一步,就能提高非常多安全性的事情。因為對駭客來說,他們可能在挑選攻擊目標時就像在撒網一樣,不一定是有很強的針對性說要衝著誰來,亂槍打鳥總會中。那如果這個目標有一點基本的防備,他可能就會跳過,去找下一個完全沒防備的目標了。所以如果能讓自己有一些基本的安全防備,其實真的就已經很有幫助了。

那許多人也可能會覺得說,欸我又不是有名的人,平常也沒涉及什麼機密工作,有必要把自己搞的那麼緊張、那麼累嗎?

當然這樣講也是有點道理,但我們也想分享另一個之前聊過的觀點,就是如果你被盜用,駭客可能會像這次的案例一樣,把你的帳號、信箱或平台,當成犯罪的跳板;或是用你的信箱寄信給你的親人、你的同事跟老闆,那這種時候因為看起來像是「你」寄出的信,所以收件人就更容易被騙了,這種攻擊方式也是非常常見的。

那今天因為時間的關係,還有一些比較細節、但也很重要的安全措施,或者是訣竅可以分享的,我們就把比較完整的資訊放在資訊欄,這次真的請大家盡量點開來看看,真的真的很重要。說到這裡,請大家現在就打開你的電腦,到那些重要的帳號跟信箱裡面,設定好該設定的東西,然後再把這個影片傳給你覺得需要的人。

-

那如果你有真的被盜的經驗、或是你是很厲害的防盜高手,想要跟大家分享心得的話,也歡迎你留言給我們噢!

最後,如果你喜歡今天的影片,歡迎分享出去,讓更多人知道「怎樣防止帳號被盜」!
此外也可以點這邊,看看「連Google都被駭」以及「物聯網時代的資安漏洞」;
那麼,今天的志祺七七就到這邊告一段落,我們明晚再見囉~掰比!



-
【 本集參考資料 】

→你好我們是擁有26萬訂閱的Youtuber, 近期我們的頻道被駭客盜了,現在頻道已經被停權....:https://bit.ly/31bbrvP
→26萬頻道被偷 請大家幫幫我...... 【秀煜的臨時頻道】:https://bit.ly/31VrRqY
→突獲27億遺產!蔡阿嘎曝光身世之謎 爽喊:不用買威力彩:https://bit.ly/2Q4Y2is
→26萬YouTuber頻道遭駭!3年影片心血空空如也:台灣Google無法處理:https://bit.ly/320pDqx
→駭客冒充 SpaceX 頻道詐騙,2 天獲利 150 萬美元的比特幣:https://bit.ly/326DYBE
→YouTube 大量用戶帳號遭劫持,創作者哀鴻遍野:https://bit.ly/3hdUNRO
→Massive wave of account hijacks hits YouTube creators:https://zd.net/3kSjKEl
→使用個人電腦應注意事項為何?:https://bit.ly/2E9Wzon

Google跟YouTube官方的教學說明
→YouTube 帳戶遭駭客攻擊時的因應方式:https://bit.ly/34a8tJJ
→確保 YouTube 帳戶安全性:https://bit.ly/2CByeXY
→防範及檢舉詐騙電子郵件:https://bit.ly/3gbUjKh
→利用完整標頭追蹤電子郵件:https://bit.ly/3kSk2uV

Google帳戶
→進一步確保帳戶安全的各個步驟:https://bit.ly/34djOZs
→你的帳號安全嗎?開啟雙步驟驗證和備份粉專教學:https://bit.ly/2E9kKDg
→雙重驗證/兩步驟驗證是什麼?對於網路安全的重要性為何?:https://bit.ly/2Q4Yv3Y
→Google 兩步驟驗證:https://bit.ly/3iS5Lgc

開啟兩階段驗證的介紹
→辨識及防範網路釣魚訊息、假的支援電話和其他詐騙:https://apple.co/313iIO2
→如何辨識網路釣魚並保護自己:https://bit.ly/3iNYXju
→網路釣魚的常見誘導手法-電子郵件網路詐欺:https://bit.ly/2E6aOL9
→網路釣魚攻擊進化 最常仿冒蘋果品牌:https://bit.ly/2PZS5mT
→什麼是社交工程(social engineering )陷阱/詐騙?:https://bit.ly/3h8WS14
→常見的社交工程攻擊方式有哪些?應如何防範?:https://bit.ly/3iS1HfL
Share to: Facebook / Line
公視要變成黨媒?「國際影音平台」就是大外宣嗎?|志祺七七