[Vorsicht] YouTube Account Diebstahl - Scams / Social Hacks / Phishing

    Ich denke, dass das wenig mit "Geld verprassen" zu tun hat, sondern eher mit Betriebsblindheit und falschem Entwicklungsfokus. Es wurden über Jahre viele Funktionen eingebaut, die dafür sorgen sollen, dass der Zugang zu den Alphabet/Google/YouTube-Diensten für alle so bequem wie möglich ist, und dabei wurde, oft in sehr theoretischer Art, mit der Sicherheit umgegangen. Nicht weil man das Geld für fähige Entwickler einsparen wollte, um es zu verprassen, denke ich, sondern weil man eher Entwickler in den Abteilungen eingestellt hat, die schicke, neue, fancy Features eingebaut haben, und weniger Security-Experten.


    Der große Fehler den sie dabei machen, ist dass sie etwas sehr im Elfenbeinturm sitzen, und nicht auf die Community ihrer User hören. Denn Warnungen zu diesen Attacken gibt es seit einigen Jahren, man hat sie aber nie ernst genommen, sondern lieber anderen Kram entwickelt, der nach außen hin mehr "schick" aussieht. Mit Sicherheits-Features, die hinter den Kulissen arbeiten und die man meistens, wenn sie gut funktionieren, gar nicht sieht, kann man halt nicht so gut Werbung machen.

    Zitat von ZapZockt

    Ich denke, dass das wenig mit "Geld verprassen" zu tun hat, sondern eher mit Betriebsblindheit und falschem Entwicklungsfokus. Es wurden über Jahre viele Funktionen eingebaut, die dafür sorgen sollen, dass der Zugang zu den Alphabet/Google/YouTube-Diensten für alle so bequem wie möglich ist, und dabei wurde, oft in sehr theoretischer Art, mit der Sicherheit umgegangen. Nicht weil man das Geld für fähige Entwickler einsparen wollte, um es zu verprassen, denke ich, sondern weil man eher Entwickler in den Abteilungen eingestellt hat, die schicke, neue, fancy Features eingebaut haben, und weniger Security-Experten.


    Der große Fehler den sie dabei machen, ist dass sie etwas sehr im Elfenbeinturm sitzen, und nicht auf die Community ihrer User hören. Denn Warnungen zu diesen Attacken gibt es seit einigen Jahren, man hat sie aber nie ernst genommen, sondern lieber anderen Kram entwickelt, der nach außen hin mehr "schick" aussieht. Mit Sicherheits-Features, die hinter den Kulissen arbeiten und die man meistens, wenn sie gut funktionieren, gar nicht sieht, kann man halt nicht so gut Werbung machen.

    was wären deine top3 einfachsten dinge die sie machen könnten für mehr sicherheit?

    Zitat von halabe

    was wären deine top3 einfachsten dinge die sie machen könnten für mehr sicherheit?

    Bin schon seit einigen Jahren kein aktiv arbeitender Sicherheitsexperte mehr, in meiner Zeit als Admin mit Aufsichtspflicht über zahlreiche Server und einige Dutzend User-PCs war ich da noch mehr im Thema.


    Aber ich probier es mal:

    • Zuerst wäre schonmal sinnvoll, dass über die IP getrackt wird, woher die Zugriffe aufs Konto kommen. Das lässt sich über den IP-Bereich relativ leicht bestimmen, da die fast immer zumindest grob ortsgebunden sind. Wenn ein YouTube Channel seit mehreren Jahren immer von einem PC aus Castrop-Rauxel (und verschiedene Knotenpunkte aus der Umgebung +/-100km) aus bedient wird, und plötzlich gibt es Zugriffe mit der gleichen Session-ID, die aber aus Pakistan, China, oder auch nur aus Norwegen kommen, dann sollte es eine Automatik geben, die solche unwahrscheinlichen Veränderungen bemerkt und Zugriffe darüber erstmal abfängt. Dann einfach ein "Ihre Zugriffe sind ungewöhnlich. Bitte geben Sie ihr Passwort und ihr 2FA neu ein" anzeigen, und schon ist die Sache mit der Session ID gelaufen. Es kann sein, dass der/die Inhaber*in im Urlaub ist, aber wenn man alle paar Wochen mal "umsonst" nach dem Passwort gefragt wird und es eingeben muss, ist das sicher weniger nervig, als die ständige Gefahr, den Channel zu verlieren.
    • Genauso, wenn es Zugriffe auf den Channel gibt, die nicht im normalen Rahmen passieren. Es kommt extrem selten vor, dass eine Person, die einen YT Channel seit Jahren unter dem gleichen Namen betreibt, diesen plötzlich umbenennt. Das gilt besonders, wenn es bestimmte Namensschemata beinhaltet, wie "Tesla", "SpaceX", "Bitcoin", "NFT" oder andere sehr häufig für diese Art von Betrug genutzten "Clickbait-Aufmacher". Auch hier, sofort nach dem Passwort und 2FA fragen. In die gleiche Kategorie fallen Sachen, wie "dutzende Videos auf einmal löschen", "Kanal-Info und email-Adresse ändern" oder ähnliche Dinge, die man als normale(r) YouTube-Nutzer*in nicht so häufig macht.
    • Auch wenn ich es persönlich mag, dass ich auf meinen bekannten Geräten dauerhaft eingeloggt sein kann, sollte eine Session-ID maximal für 30 Tage gelten und dann immer mit dem jeweiligen Gerät verknüpft sein, MAC-Adresse des Netzwerk-Gerätes lässt sich sehr leicht auslesen und ist mit Aufwand verbunden, sie zu faken.

    Also sehr frisch betroffener kann ich nur sagen: Es kann jeden erwischen. Ich weiß, einige werden nun müde lächelnd abwinken. 😁


    Ich bin, quasi seit es das Internet öffentlich gibt online unterwegs. Ich bin also groß geworden mit den möglichen Online Gefahren und insofern kann ich sagen, dass ich in über 30 Jahren nie gehackt worden oder irgendeinem Onlinebetrug aufgesessen bin. Doch im Februar 2023 war es dann soweit. Der absolute Supergau.


    Das Problem ist hier einfach, dass sich die Zeiten verändert haben und die Angriffe raffinierter und gezielter erfolgen. Das eine ist die Technik die heute zum Einsatz kommt. Das gilt für die Hacker aber insbesondere für unsere Seite (wir rennen alle mit Computern in der Tasche rum und sind stets irgendwo online). Das andere ist der menschliche Faktor. Man muss schlichtweg schon sehr diszipliniert, jede Sekunde hellwach, stets top informiert und geradezu paranoid sein, um sowas zu vermeiden und selbst dann gibt es sicher noch Möglichkeiten die sich nicht in unserem Einflussbereich befinden.


    Der erste Fehler - was die menschliche Schwäche betrifft - ist das Mindset: MIR kann das nicht passieren.

    Wer so denkt, wiegt sich oft in einer falschen Sicherheit und wird dann auch auch meist härter bestraft.


    Besser ist davon auszugehen, dass es passieren wird und im VORFELD zu prüfen, wie es um die Sicherheit des eigenen Systems und der eigenen Daten steht, wenn es dann doch zum Bruch kommt.


    Ich bin übrigens nicht 100% sicher, wie es bei mir zu dem Hack kam, weil ich danach keine Analyse gemacht habe, was ich hätte lieber tun sollen. Aber wenn du auf einen Schlag alle deine Kanäle verlierst (und damit Jahre an Arbeit), dann hast du erstmal andere Sorgen. Doch ich würde sagen, dass ich entweder bei einer Seite etwas runtergeladen habe, die ich als offiziell eingestuft habe (Google Anzeige Falle) oder es war eine Datei mit einem Programm das ich von einem sehr guten Freund erhalten habe, dass er sich aber selbst runtergeladen und damit nicht auf regulären Weg beschafft hat.


    Wenn man nun so argumentiert wie manche hier die "kein Mitleid mit den gehackten Idioten" haben, dann wird das natürlich darauf reduziert, dass da jemand zu blöd war. Man hätte ja - wie in meinem Fall - eine solche Seite nochmal eingehender checken können (Whois Infos checken) und man hätte den Freund ja mal genauer befragen können. Doch man übersieht den wesentlichen Punkt. Im Nachhinein ist alles immer völlig klar. Glasklar! Aber in der Situation verhält es sich dann doch etwas anders.


    Das sieht man dann auch wieder bei LTT. Es ist normal das größere Youtuber Anfragen bekommen und zwar nicht nur ein Handvoll sondern hunderte pro Woche. Das geht nun mal alles online und darüber wird halt Geld verdient. Da sitzen meist nicht mehr die eigentlichen Youtuber selbst sondern Angestellte dran die auch nicht blöde sind und um die üblichen gefahren wissen. Man darf bei LTT auch annehmen, dass man sich gerade bei einem der größten Tech Kanäle der Gefahren schon bewusst ist.


    Doch das ganze geht schneller als man denkt. Zum Beispiel kann man mit einem relativ einfachen aber ziemlich unbekannten Trick die Endung einer Datei umdrehen so das du eine ganz andere Endung siehst. Das einzige was dann noch Aufschluss geben könnte, ist die Größe der Datei. Größe ist wichtig, weil man damit den Virenscanner täuschen kann.


    Das Problem bei LTT war meiner Ansicht im Endeffekt das selbe wie bei mir. Ich konnte mir bei meiner langjährigen Erfahrung und Bilanz einfach nicht vorstellen, dass es dazu kommen kann und GERADE das wurde mir zum Verhängnis.


    Nach der Sache, kann mir das so nicht mehr geschehen, weil ich nun davon ausgehe, dass es wieder geschehen wird. Ich habe quasi meine Sicherheitsburg neu aufgebaut. Statt nur einen Wassergraben und eine fette Mauer drumherum, habe ich im Inneren alles so verändert, dass man selbst wenn man dort hineingelangt nicht mehr wirklich großen Schaden anrichten kann.

    ___________


    Hier für interessierte einige Tipps im Bezug auf Youtube:


    - Keine Konten unter Verwendung einer eigenen E-Mail Adresse nutzen. Immer eine Google Adresse wählen. Denn Hacker werden das ansonsten für dich tun.

    - Mindestens 3 Google Konten anlegen (1 Inhaber-, 1 Admin- und ein Adsense Konto)

    - Das Inhaber Konto ins "Erweitere Sicherheitsprogramm" von Google schieben.

    - Danach das Inhaber Konto von allen Geräten abmelden, Cookies löschen und bis zum Sicherheitsbruch vergessen.

    - Nur das Admin Konto und das auch NUR für Youtube nutzen.

    - Private Konten (wo man sich auch mal die App mit tonnenweise Werbung herunterlädt) getrennt einrichten und nutzen.

    - Die Google E-Mail Adressen - der wichtigen Accounts - niemals irgendwo benutzen. Auch die Google Dienste wie Mail, Passwortmanager & Co. nicht.

    - Passwort Manager mit Passwort Generator nutzen. Das Masterpasswort muss komplex und lang sein. Das Passwort an einem sicheren offline Ort aufbewahren.

    - Passwort Manager haben ebenfalls Konten. Nutze nie das Konto mit dem Vollzugriff. Nutze ein Konto mit den notwendigsten Rechten das dann nur Zugriff auf Passwörter hat die du wirklich täglich brauchst.

    - Passwörter müssen generell grundsätzlich lang sein und keiner offensichtlichen Logik folgen.

    - Auch E-Mail Adressen könne wie Passwörter aufgebaut sein, wenn man sie nicht für die Kommunikation nutzt.

    - 1 Passwort für eine Sache. Also keine Passwörter wiederverwenden.

    - Meiden von Funktion wie "eingeloggt bleiben", "an das Gerät erinnern" usw. - Zumindest bei wichtigen Accounts.

    - Nach der Arbeit am Kanal stets ausloggen. Die meisten Hacks werden so gelegt das du schläfst, im Wochenende oder Urlaub bist oder eben an Feiertagen wo man in der Regel anderweitig beschäftigt ist. Bei mir war es die Nacht von Samstag auf Sonntag.

    - Am besten alle wichtigen Accounts wie Inhaber und Adsense Konto nur von einem separaten Gerät ausführen auf dem sonst nichts gemacht wird. Hier bietet sich alte Hardware an die man meist noch hat. Wichtig ist nur, dass Betriebssysteme aktuell sein sollten. In der Regel muss man da aber nicht dauernd sondern wenn überhaupt nur alle paar Monate dran.

    - Alle wichtigen Kanäle zusätzliche E-Mail Adressen angeben, die dich auch erreichen und zwar immer. Die Konten dieser E-Mail Adressen müssen ebenfalls stark gesichert werden.

    - Nutze einen Kanal wo dich deine Community stets erreichen kann. Ich nutze Discord. Ich hatte gefühlt Sekunden nach ersten Tesla Stream Meldungen aus der Community. Ich hatte das zwar auch selbst selbst mitbekommen, aber das war verdammt flott.

    - Nutze immer und wo möglich Zwei-Faktor-Authentisierung. Zu bevorzugen sind IMMER Authentisierung Apps. Achte darauf das die App eine eigene Sicherheitsbarriere hat (die Google App ist dahingehend Müll)


    Das selbe gilt im Grunde für alle wichtigen Accounts. Besondere Ziele sind: Dein Mobilfunk- und Internetanbieter. Deine E-Mail Anbieter. Deine Webhoster oder Serveranbieter.


    ______________


    Was kann Google tun?


    Eine Menge! Jeder Punkt oben von ZapZockt ist absolut richtig außer einer: 30 Tage Session sind schon der Weg zur Hölle. Es hat ein Grund warum Online Banken mittlerweile nur noch Minuten geben. Zum Arbeiten ist das natürlich Unsinn. Aber eine max. Session von 6 bis 12 Stunden ist ausreichend. Danach muss man sich eben wieder einloggen und zwar mit einer verpflichtenden Zwei-Faktor-Authentisierung. Es sollte die Möglichkeit geben die "eingeloggt" bleiben grundsätzlich Accountweit zu deaktivieren, so dass man wirklich auch nach X Zeit rausgeworfen wird. Leider ist diese Funktion immer aktiv, weil ja eben Google als Social Media und Datenkracke möglichst will das du eingeloggt bist und das ist eines der Kernprobleme.


    Dazu muss endlich ein anständiges Rechtesystem eingeführt werden. Es gibt zwar Rollen und sogar zwei Rollen Systeme, aber die sind beide weder zeitgemäß noch ausreichend. Es reicht halt aktuell dafür aus, dass man man den Inhaber Account aus der Schusslinien bekommt. Aber ansonsten sind die totaler Müll da die Rollen feste und teilweise unsinnige Rechte haben.


    Nehme ich die Brand Rollen habe ich den Vorteil, dass ich mehrere Inhaber Rechte vergeben kann. Bestehen die länger als 7 Tage kann ich die primäre Inhaberschaft durch einen zweiten Account (der eben bereits 7 Tage Rechte hat) übernehmen. So habe ich einige Kanäle direkt nach dem Hack wieder unter Kontrolle bekommen und konnte des Tesla Stream selbst abschalten und den Stream Schlüssel ändern.


    Problem ist aber, dass in diesem Rollensystem die nächste Rolle mit weniger Rechten der Admin ist. Der kann aber echt viel. Der kann Videos löschen, streams starten und auch ansonsten alles mit dem Kanal tun. Auch Banner, Profibild und Namen ändern. Er kann halt den Kanal nicht löschen. Eine kleinere Rolle für Youtube Angelegenheiten gibt es nicht.


    Dafür hat man die Youtube Rollen eingeführt. Um die zu nutzen muss man auf die Brand Rollen verzichten und damit auch auf die Übernahmemöglichkeit der Inhaberschaft wie oben beschrieben. Die Youtube Rollen kennen nur einen einzigen Inhaber. Der ist einmalig. Danach gibt es abgestufte Rollen von Admin bis hin zum Moderator. Leider sind die Rollen unsinnig. Die beste Rolle wäre eigentlich der Bearbeiter. Damit kann man alles tun was man so normalerweise so macht und auch alles sehen was man normalerweise sehen will. Man kann aber keine Videos löschen was ich persönlich klasse finde. Man lässt Videos die man löschen möchte einfach auf privat und alle paar Wochen macht man mal mit einem separaten Admin Zugang alles sauber. Man kann den Kanal natürlich auch nicht irgendwie bearbeiten. Eigentlich perfekt. ABER.... Man kann einen Stream starten. Youtube stuft das wie ein Video Upload. Das ist ein großer Fehler denn gerade Streams werden für Unfug genutzt. Zweites Problem. Neue Funktionen kennen die Rollen oftmals nicht. Nutzt du Beiträge als den Community Tab? Dann hast du Pech gehabt. Das geht nämlich nur über die Rechte der Brand Rollen und nicht über die Youtube Rollen. Das zeigt wie alt das System ist.


    Es muss einfach ein Rollensystem her, in dem man den Benutzer Rechte einräumt. Wer ein Forum wie dieses hier schonmal von innen, also als Admin gesehen hat, weiß wie Rechtesysteme funktionieren müssten. Da gebe ich User XY (also Google Konto XY) Rechte fürs hochladen von langen Videos, Beiträge erstellen und Ansicht auf die primären Analyse Daten. Ende. Alles weitere macht man über andere Konten die man benutzt wie beim Onlinebanking. Einloggen, Durchführen, ausloggen.


    Wer über Youtube streamt macht das meist über eine Streaming Software. Die bekommt dann eben kurzerhand ihren eigenen Google Zugang mit Rechte eben nur auf das Streamen bezogen, darf aber ansonst nichts.


    Alles in allem muss Google einfach zum Gatekeeper also Torwächter werden und und damit etwas Bequemlichkeit nehmen. Dazu ein gutes Rechtesystem und der Spuk mit den "Tesla Hacks" wäre schon bald vorbei.

    Zitat von McNeel

    So habe ich einige Kanäle direkt nach dem Hack wieder unter Kontrolle bekommen und konnte des Tesla Stream selbst abschalten und den Stream Schlüssel ändern.

    ich warn dann hier schon mal vor, dass die Kanäle trotzdem im Nachhinein gesperrt werden könnten, da der Flag im System ist, automatische Abläufe usw. ... also nur als Vorwarnung schon mal, dass der Schock nicht all zu groß wird, wenn auf einmal da steht "Kein zugriff auf Google Dienst".

    du willst nicht wissen, wie viele ihre Accounts so halbwegs retten konnten und dann später die Konten geschlossen bekommen haben vom System. Es ist einfach nur noch ein trauer Spiel für Supporter und Co..

    Rechtsberatung sollte man sich genau so wie medizinische Diagnosen nicht im Netz in Foren, sozialen Netzwerken oder Chat Gruppen suchen!




    Alle Beiträge dieses Accounts in diesem Board dienen lediglich der Informationsweitergabe und sollen keine Rechtsberatung darstellen.

    Top 1
    Zitat von Steve

    ich warn dann hier schon mal vor, dass die Kanäle trotzdem im Nachhinein gesperrt werden könnten, da der Flag im System ist, automatische Abläufe usw. ... also nur als Vorwarnung schon mal, dass der Schock nicht all zu groß wird, wenn auf einmal da steht "Kein zugriff auf Google Dienst".

    du willst nicht wissen, wie viele ihre Accounts so halbwegs retten konnten und dann später die Konten geschlossen bekommen haben vom System. Es ist einfach nur noch ein trauer Spiel für Supporter und Co..

    Das war kein Problem.


    Einer der Kanäle (mit rund 20k Abos) wurde, trotz dessen das ich den mittlerweile wieder unter Kontrolle hatte, wegen Verstoß gegen die Community Richtlinien entfernt. War auch bei LTT der Fall. Allerdings werden keine Accounts von Youtube gelöscht. Sie werden deaktiviert. Man kann also Beschwerde gegen die Entfernung einlegen und danach bekommt man den Kanal auch wieder.


    Ich denke, dass es halt wichtig ist, dass man mit denen sofort in die Kommunikation geht. Es gibt einige Anlaufstellen für Partner die von Chat bis persönlichen Kontakt gehen (je nachdem wie viel "Gewicht" man hat). Es gibt auch diverse Fomulare. Auch für Nicht-Partner gibt es Kontaktmöglichkeiten. Im Zweifelsfall über Twitter das Youtube Team absprechen. Die haben sich superschnell gemeldet. Die Kommunikation per E-Mail war dann im Vergleich sehr träge aber es hat zum Erfolg geführt.


    Nach wenige Tage später war - was die Youtube Kanäle betrifft - alles wieder in Ordnung. Ich habe jedoch noch Wochen gebraucht um wieder in den Normalmodus zu kommen. Also in den nun verbesserten udn sicheren Normalmodus. Es war ein unglaublicher Schaden an Zeit, Energie und vor allem ein Knacks für die Psyche, weil man erstmal Tagelang unter Strom steht. Kein schönes Gefühl und ich wünsche das echt niemanden.



    Edit: Weil Steve von geschlossenen Google Konten sprach. Auch deshalb ist es wichtig mindestens ein zweites Google Konto zu haben, um die Kommunikation zu halten. Aber es gibt eben auch eine Frist, Ich meine es sind 7 Tage. Also in Kontakt bleiben.

    Übrigens aus aktuellem Anlass, diese Phishing eMail geht gerade rum, und sie ist natürlich fake, auf gar keinen Fall auf den Link klicken, auch wenn er bei Google Drive liegt, ist es kein offizieller Google/YouTube Link:


    Zitat von halabe

    wie findet ihr das? https://www.youtube.com/intl/de/creators/safety/

    Gar nicht schlecht. Es ist zwar sicher hier und da noch etwas hinzuzufügen, und manches kratzt nur an der Oberfläche, aber auf jedenfall eine gute Basis, die besonders Einsteigern erstmal die wichtigsten 5-10 Fakten erklärt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite?
Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden