[Vorsicht] YouTube Account Diebstahl - Scams / Social Hacks / Phishing

MacOS und 2 Faktor sollte schon ein sehr sicherer Weg sein.

Danke dass ihr hier berichtet. Ich hab es überflogen und es sollte vielen helfen. Der Schutz hat oberste Priorität!

Ach, Du bist so lieb und höflich!

Ich schreib solchen Leuten ganz andere Sachen zurück, wenn ich grad schlecht aufgelegt bin und zu viel Zeit habe. Hab Nachrichten auch schon per whatsapp und SMS bekommen... was ich da zurückschreibe ist nicht druckreif

ZapZockt da nimmst du dir schon viel Zeit für die Antwort

und mal wieder späße mit Mails

Zitat von ZapZockt

Hatte ich auch schon 2mal, aber der Absender war irgendein "warning@cr-62347.site" Ding

das scheint mit fortlaufenden Zahlen zu arbeiten hinter dem cr, gab da auch schon Anfragen im Board, Twitter und Reddit ...

https://support.google.com/you…h-von-youtube-kommt?hl=de

also, allein die Mail Adresse sollte doch schon Alarmglocken läuten lassen?!

wobei ja auch aktl. Erfolgreich eine SMS Phishing läuft, wo sich als Finanzamt oder so ausgegeben wird

Zitat von ZapZockt

Opfer der Scam-Sponsoring Methode

Ich habe gerade mal geschaut, aber nirgends etwas explizit zu dieser Methode gefunden, auch wenn der Begriff "Scam" für sich genommen ja bekanntlich samtsämtliche Alarmglocken schrillen lassen sollte.

Was genau ist Scam-Sponsering und wie funktioniert das?

Zitat von Nordmann2021

Ich habe gerade mal geschaut, aber nirgends etwas explizit zu dieser Methode gefunden, auch wenn der Begriff "Scam" für sich genommen ja bekanntlich samtsämtliche Alarmglocken schrillen lassen sollte.

Was genau ist Scam-Sponsering und wie funktioniert das?

Startpost dieses Threads

Zitat von ZapZockt

Möglichkeit B) (heavy und sehr neu)
Ihr bekommt ein Sponsoring Angebot von einer Firma, die Euch gratuliert, wie toll Euer Kanal ist. Sie bieten Euch an, einige Hundert Dollar/Euro zu zahlen für ein 30 sekunden Werbe Special oder noch viel mehr für ein ganzes Werbevideo für ihre neue Software zu machen. Solche eMails hab ich selbst schon bekommen. Wenn man nach der Firma googled gibt es die Firma zwar, da sind sogar Bilder von CEO und Programmierern drauf, etc, aber die Seite ranked nicht mal richtig für ihren eigenen Firmennamen.

Hier so eine Beispiel Mail, die ich persönlich erhalten habe:

Dieses Angebot hab ich bereits in 3 Varianten erhalten. Wenn man Antwortet, bekommt man einen Link zu einer Webseite geschickt, die Werbung für eine angebliche Gamer Software macht, die Multiplayer Spiele in einer Art Couch-Coop anbietet. Man bekommt ansonsten keine Infos. So scheinen viele diese "Software" runter zu laden, um sie auszuprobieren. Hier hab ich gottseidank abgebrochen, weil mir das spanisch vorkam. Eine Frau schreibt mir über einen googlemail account, obwohl sie angeblich eine High-Tech Firma vertritt. Die haben eine zusammengeschusterte Webseite und keinen eigenen eMail server, obwohl sie angeblich highspeed Netzwerksoftware programmieren? Auf Nachfrage kam dann keine Antwort mehr. Und glücklicherweise hab ich NoScript und andere Sicherheitstools im BRowser, die mich vermutlich vor direkten Attacken durch die Webseite geschützt haben.

Heute lese ich in einer internationalen FB Gruppe, in der >10k Creator sind massenweise, dass Leute ihren kompletten YT Account verloren haben. Die Software ist ein Trojaner, binnen weniger als einer Stunde nach der Installation wurden alle Google Daten geklaut, der YouTUbe Account auf einen anderen Account transferiert und der eigentlich damit in Verbindung stehende googlemail Account unbrauchbar gemacht. Letzteres verhindert, dass man sich mit dem original eMail Account mit dem Support in Verbindung setzen kann, der normalerweise bei Account Diebstahl helfen kann. YouTube hat zahlreiche Sicherheits-Features um Accountdiebstahl zu verhindern, die meisten sind aber an den Google-Account gebunden und wenn dieser Account im Endeffekt zerstört wird, gehen ganz viele Sicherheits-Features verloren. Den Kanal dann wieder zu bekommen wird enorm schwierig und aufwändig, da man nur schwer beweisen kann, der ursprüngliche Eigentümer zu sein. Es geht vermutlich, ist aber dann sehr viel aufwändiger.

Diese Art von Social Hack / Trojaner Phishing wird wohl mit zahlreichen verschiedenen Settings angeboten, bisher bekannte Firmen Namen:
-nexxzy
-Kryptmix
-Elegyz
-gelezy
-Systemforce
-Hypercleaner
-vclickbox
-Mygalaxypc
-Trahony
-Fentor

- Best Speeder (PC optimization software)
- IP Floky (VPN service)
- & VonTex (die mich fast gekriegt hätten)

Also seit vorsichtig da draussen, wenn ihr eMails bezüglich Eures Kanals bekommt. Niemals die Links in den Mails anklicken und nicht irgendwelche Software installieren, nur weil Euch jemand mit Geldscheinen vor der Nase rumwedelt. Ruft die Google Dienste immer direkt über Eure Verknüpfungen auf und wenn ihr Angebote von Firmen bekommt, googled erstmal ausführlich, ob es diese Firmen wirklich gibt, wie lange es die gibt, ob andere Leute Erfahrungen damit gemacht haben, etc.

Alles anzeigen

sonst erst vor kurzem hier im Board

Thema

Echte Anfrage?

Hey,
ich habe folgende Mail erhalten und ich vermute, dass die nicht echt ist. Jemand Erfahrungen mit solchen Anfragen? Keine persönliche Anrede und die Nachricht ging an meine private Mailadresse. Daher vermute ich, dass die Nachricht nicht ernst gemeint ist.

Beste Grüße
(Zitat)

PaddelCore

6. März 2023

sonst hier eins der suchergebnisse von YT

Scam Sponsoring, Sponsoring Phishing YouTube etc. als Suchbegriffe nutzen.

tl;dr: kurz um, Ich schreibe Creators im Micro bis open End Bereich via ihren Geschäftsmails an, gebe mich als Firma X aus, die ein Sponsoring anbietet mit viel Honig ums Maul schmiererei, und nutze dann die üblichen Methoden wie trojaner, Tracker etc.pp. die mit einem Klick auf die Anmeldung etc.pp. dann installiert werden, ein um an die Daten von diesen Creators zu kommen. Melde mich an in ihren Accounts, ändere alle Möglichkeiten usw. und streame dann Firma X Bitcoin etc.pp. Stream mit Links um von Konsumenten wieder ihre Daten zu bekommen usw. usf.

=========================================

ehrlich ich bins mittlerweile so leid und müde mit dem BS, allen voran du könntest in allen Bussen, und überall Plakate aufhängen die auf sowas hinweisen, es würd nichts ändern ... "weil Sachen installieren sich nur wenn ich auf "OKAY Installieren" drücke, burp" ...

Es ist auch ein Witz in wie vielen Agenturen und Managements dies schon abgelaufen ist.

bester comment bei ltt

Dank Dir, Steve, ich hatte auch hier gesucht, aber hat mich dann wohl wieder meine Ungeduld "besiegt"

Ansonsten, ja, ich bin vor allem, was Deinen letzten Absatz angeht, zu 100% und vollständig bei Dir.

Und mittlerweile habe ich mit solch Gehackten kaum noch Mitleid, werde gar eher stinkig, wenn mal wieder jemand heult, sie/er wäre gehackt worden und es sich dann heerausstellt, WIE das Hacking abgelaufen ist

So etwas ist vielen Menschen offenbar nicht begreiflich zu machen...man müsste etwas erfinden, Betroffenen zu vermitteln, dass deren Verhalten kaum anders ist als seelenruhig eine vielbefahrene Autobahn zur Rushhour zu überqueren

Was ist nur so schwer, im Zweifel nachzufragen, wie es PaddelCore kürzlich gemacht hat?

Zitat von ZapZockt

Es gibt einen PDF-Anhang in einer Mail, und beim Anklicken des Anhangs wird direkt auf die aktiven Browser zugegriffen und dort sämtliche Daten abgegriffen, gespeicherte Passwörter, Sessions-Cookies, etc.

Ja, und ist es nicht traurig, dass so etwas simples, wovor in wirklich JEDER relevanten Publikation gewarnt wird, immer noch erfolgreich ist?

Keiner meiner seriösen Geschäftspartner, ob nun Banken, Vermieter, Versicherungen u. ä. schickt mir in Emails auch nur irgendetwas, was ich anzuklicken habe, es wird stets weiter nichts getan als darauf hinzuweisen, sich im Account anzumelden und dort Dokumente abzurufen, und nicht einmal der Anmeldelink wird mitgeschickt.

Wie kann es sein, dass selbst in großen Firmen, gar Behörden, einfach mal eben Links in Emails angeklickt werden, die nicht aus dem betrieblichen internen Umfeld kommen?

Zitat von Nordmann2021

Wie kann es sein, dass selbst in großen Firmen, gar Behörden, einfach mal eben Links in Emails angeklickt werden, die nicht aus dem betrieblichen internen Umfeld kommen?

naja, spz. DE gibt es da so ein paar Gerüchte ...

die 10 meist genutzten Passwörter 2022 in DE (und ja Passwort ist sogar doppelt dieses Jahr vertreten)

https://www.welt.de/kmpkt/arti…-2022-am-haeufigsten.html

sry, aber ich konnts mir nicht verkneipfen

Zitat von Steve

sry, aber ich konnts mir nicht verkneipfen

Aus dem Umfeld hat auch vor einiger Zeit mal jemand etwas von "Innovation" gequatscht

Mein bis vor kurzem für seriöse und wirklich sicherheitsbedürftige Zwecke genutztes Email-Konto ist durch Missbrauch (innerhalb XING wohlgemerkt!) und dem verantwortungslosen Umgang Dritter mit eigenen Daten zum Schluss so kompromittiert gewesen, dass ich dieses Konto - nach Umsetzung aller relevanten Zusammenhänge - gelöscht habe.

Dort gab es zuletzt mehr Spam- und Pishing-Mails als in meinen anderen Email-Addis zusammen.

So etwas ist einer der Gründe, aus denen heraus ich wie weiter oben erwähnt stinkig werde, wenn ich erfahre, dass z. B. jemand, der auch meine Email-Adresse zwecks Komtaktpflege hat, seinen Facebook-Account nur alle paar Wochen besucht und dann Passwörter nutzt, die in der von Dir verlinkten Liste auftauchen.

Ich weiß, dass ich mich hier wiederhole, aber man kann das - ebenso wie "keine Drogen am Steuer" - garnicht oft genug erwähnen, und sei es nur dafür, dass solche User hinterher nicht behaupten können, sie hätten von nichts gewusst.

Nachdem ich mir das Video von Linus angesehen habe frage ich mich einiges Dinge zum wiederholten mal....

Er spricht ja Google DIREKT an.
WANN denkt Ihr wird sich also etwas verändern?
WANN werden die angesprochenen Sicherheitsfeatures in Google, YouTube, usw. umgesetzt?

Mal überlegen.... Das sind MASSIV sicherheitsbedenkliche Dinge.
Da geht es um Millionen die durch Diebstahl, Betrug etc. verloren werden. Da geht es um VERBRECHEN!

Alphabet - Mutti von Google, YouTube, Chrome..., hat MILLIARDEN und tausende Programmierer...

Jederder in Softwareentwicklung ein wenig Ahnung hat weiss, ja es gibt Releasezyklen, und nicht geht über Nacht.
ABER es weiß auch jeder dass mit VIEL GELD (Alphabet?) und dem WLLEN etwas zu tun Dinge sehr schnell gehen....

Fragt Euch also in 1,2, 3 Monaten einfach - wenn es die nächsten YouTube, Chrome, Updates gibt

WAS HAT SICH GETAN...

Und was heisst das in Wirklichkeit dann?
Dass WIR ANWENDER dem Alphabet Managment am A**** vorbei gehen denn die sind NUR an der KOHLE interessiert und ansonsten produzieren sie heisse Luft und viel Marketing Bla Bla Bla!

Ich lasse mich aber GERNE von Alphabet eines anderen belehren wenn sich da tatsächlich was tut ....

GoetzSaCbebu , ich setze Dein Anliegen mal auf die Autobranche um, fiktiver Kfz-Hersteller "A":

- "A" muss in seine Autos Bremsen mit Pedalen einbauen, die sich bei Bedarf selber drücken, wär ja noch schöner, wenn Fahrer etwas tun müsste

- "A" muss in seine Autos Türen mit Schlössern einbauen, die sich selber öffnen und schließen, ohne dass Fahrer/Halter etwas tun muss, wär ja noch schöner

- "A" muss seine Autos mit Reifen versehen, die niemals nie nicht an Luft verlieren oder gar platzen, von selbst den Halter bei zu wenig Profil warnen, wär ja noch schöner, wenn Halter/Fahrer darauf acht geben müsste

- "A" muss seinen Autos beibringen, von selber zu hupen, wenn sich Fussgänger gefährlich der Fahrbahn nähert oder anderes Auto den Anschein macht, als würde es die Vorfahrt missachten, wär ja noch schöner, wenn Fahrer selber auf den Verkehr achten müsste

Diese Liste lässt sich unendlich weiter führen, wenn man sich als Halter/Fahrer/User/Benutzer von jedweder Verantwortung befreit sehen will...und genau diesen Wunsch liest man immer wieder, wenn sich Internet-Geschädigte über Sicherheitslücken beschweren.

Kein Geld der Welt und auch keine noch so genialen Systemer können Soft-, Hardware und das Drumherum vor Leuten schützen, die garnicht daran denken, selber auf die Sicherheit ihre System zu achten, sei es aus Unwissen, Naivität, Sch..ß-Egal-Haltung oder sonstigem.

Mal so nebenbei: Ich sehe auch bei solchen Angelegenheiten, also Thema Sicherheit, jedesmal wieder die Datenschützer - die grundsätzlich natürlich zu 100% ihre Daseinsberechtigung haben - und auch sogenannten "Menschenfreunde" in die Arena treten und sich über zu intensive Überwachung beschweren.

Mit Software allein wirst Du zu keinem Zeitpunkt bei auch nur irgend etwas vollkommene Sicherheit erreichen...am Ende (oder Anfang) der Kette befindet sich stets doch wieder Mensch, Opfer UND Täter.

Nett, aber falsch!

Sicher, ich darf keine Anhänge öffnen - aber mal ehrlich die Scammer werden immer intelligenter.


Warum wird ein Session Cookie nicht an die IP des Rechners gebunden auf den es geladen wurde?
Natürlich verschlüsselt sodaß der Hacker die IP nicht mit Copy/Paste austauschen kann.
Diese IP wird im Server auch gespeichert.
So ein Cookie ist sinnlos zu stehlen weil der Server es ablehnen wird bei falscher IP.

Warum gibt es kein IP Fencing?

Aber ich bin kein Experte, da gibt es sicher genügend Experten die seit Jahren Lösungen in der Schublade haben.
Dumm nur das sowas Geld kostet - Geld das diese TOP Manager eben lieber egoistisch verprassen als es sinnvoll einzusetzen!