Geknackte Kanäle HACKER SCAM & Diebstahl bei YouTube Ideen ?

Eine absolute Sicherheit vor Hackern wirst Du nicht finden, weil, gibt's wohl nicht.

Aber genau wie im RL mit Gangstern, Einbrechern usw. kannst Du selber Hackern, Pishern und sonstigen Kriminellen ihr Handwerk schwer machen...bei beidem spielt der Zeitfaktor eine nicht zu unterschätzende Rolle.

Wenn ein Hacker sein Script losschickt, wird der nach wenigen erfolglosen Sekunden (ich schreibe hier jetzt von Hacking im "normalen" Umfeld, nicht professioneller Spionage im Umfeld von Konzernen, Behörden usw., obwohl da eigentlich die gleichen Sicherheitsregeln greifen sollten) genauso aufgeben wie der Einbrecher, der eine gut gesicherte Balkontür nicht nach spätestens 10 Sekunden aufgehebelt hat.

Ich habe hier RE: Cybersicherheit - eure besten Tipps, Tricks & Topsecrets einiges dazu geschrieben; hält man sich daran, hat man schon sehr viel mehr getan als Otto-Normal-User.

Wie geschrieben, eine 100%-Sicherheit gegen das Hacker- und Pisher-Pack wird es nicht geben, aber man muss diesen allerwertesten Herrschaften ja nicht das Leben dergetsalt leicht machen, indem man sein Auto mit offener Tür und steckendem Zündschlüssel stehen lässt oder sein Passwort für Internet-Zugänge "Mausi000" oder gar "passwort" heißt, da würde auch ein von Youtube eingebauter 10FA nicht viel nützen, man muss schon selber etwas für seine Sicherheit tun statt es (ausschließlich) andern zu überlassen

Die meisten "gehackten" Kanäle sind immer noch das Ergebnis von Phishing, sprich die Besitzer haben irgendwo in einer gefakten eMail auf einen Link geklickt und dann in ein nachgemachtes Google-Login Fenster ganz von allein ihre Daten eingetippt. Danach folgt vermutlich gefaktes Sponsoring, wo den Leuten mit Geld vor der Nase rumgewedelt wird, so dass ihr Gehirn auf Gier schaltet und sie dann z.b. eine Test-Software auf ihrem Rechner installieren, die natürlich ein Trojaner ist, der den Login kapern kann.

Bei beiden Methoden findet also keinerlei "Hacking" der Sicherheitssysteme statt, sondern ein "Social Hacking" der Besitzer. Und da dann jeweils der Besitzer des Accounts bewusst einloggt, ist es ziemlich egal, wie hoch die Sicherheits-Vorschriften sind. Gegen Unüberlegtheit, Unwissen über Phishing und gegen Gier der Account-Besitzer helfen die besten Sicherheitssysteme nicht. Die Dicke der Tresortür in einer Bank ist nicht entscheidend, wenn der Bankpräsident höchstpersönlich mit einem Lächeln die Tür aufmacht.

Die meisten Leute verstehen nur einfach gar nicht, wie ihnen das passiert ist oder es ist ihnen so peinlich, dass sie auf solche Betrugsmethoden hereingefallen sind, dass sie deshalb von "Hacking" sprechen.

Dagegen hilft nur, dass man sich als Account-Inhaber stärkt gegen solche "Social Attacks", sprich bei jeder eMail vor dem Klicken erstmal checken, ob die Links zu google.com oder zu einem anonymen Internetspeicher gehen oder noch besser, wichtige Seiten mit Accounts, wie Bank, Steuern, Google und YouTube generell niemals über Links aus eMails öffnen, sondern immer manuell aus den Favoriten. Bei jedem Sponsoring dreimal prüfen, ob es die Firma wirklich gibt, ob die eMail-Adressen und Personen dahinter tatsächlich die richtigen sind und noch xmal vorsichtiger werden, wenn eine Software aus einer unbekannten Quelle installiert werden soll. Vor allem muss man an sich selbst arbeiten, dass man, falls man Geld angeboten bekommt, nicht das $-Zeichen in den Augen bekommt und das Hirn abschaltet.

Da ich mit Material von Zuschauern arbeite nutze ich mehrere Rechner um mich abzusichern.

Ich bin mit meinem Arbeitsrechner mit dem ich mich im Netz bewege und den Hauptteil des Videoeditings erledige in keinem einzigen Google-Account eingeloggt.

Für Google/YouTube nutze ich einen eigenen Laptop UND ein eigenes Handy.

Einloggen tue ich mich mit 2FA und Titan Security Key. Sofern ich gerade nicht dabei bin Einstellungen im YT-Studio vorzunehmen oder Videos hochzuladen trenne ich den Laptop vom Internet.

Privat nutze ich einen 3ten Laptop.

Eine 100%ige Sicherheit gibt es am Ende des Tages nicht. Denn man kann sich sicherlich auch was während den Datenaustausch via Festplatte vom Arbeitsrechner zum Upload-Rechner einfangen.

Ich denke das höchste reale Risiko ist ein gehackter Rechner der mit dem Internet verbunden und eingeloggt ist.

@DDG

Wie lädst du dann die Daten auf den „hochlade laptop“?

Kann eine Video Datei eigtl infiziert sein?

Ich kriege auch Material von einem Kumpel und frage mich das schon länger.

Nicht das er nen Virus hat und ihn unbewusst weitergibt

Zitat von DerTester

Kann eine Video Datei eigtl infiziert sein?

Man kann das so ausdrücken: Es gibt nur noch wenige Datei-Typen, die keinen Virus enthalten können, reine Textdateien wie z. B.  *.txt, *.ini, *.bat, *.cmd enthalten keine Viren, aber fast alles andere wie Bild-Dateien und eben auch Video-Dateien können infiziert sein, eben so ziemlich alles, was durch ein Programm/Tool erst "übersetzt" oder gar ausgeführt werden muss.

Der wichtigste Schutz ist und bleibt, beim Aufstehen auch das Gehirn schon einzuschalten, dann ist die größte Schwachstelle soweit es geht schon mal beseitigt und mit Glück, überlebt man den Tag.

Wie schon öfter angemerkt und auch hier schon von ZapZockt und Nordmann2021, wozu soll man sich groß Mühen machen als kriminelles Individuum, irwelche komplizierten Firewalls, Virenprogramm, Sicherheitsschlüssel etc.pp. zu umgehen, wenn Härbärt Alman meint wild wi###end jeden Link blindlinks anzuklicken im Netz anzuklicken, jede Mail und Anhänge von Lassmi Randadenn Siewillja öffnet und denkt 12345 wäre ein Sicheres Passwort.

Es hat auch etliche Agenturen und Managements erwischt, ich erinnere an Julien Bam, für den DACH Raum das populärste Beispiel. Da hat einfach ein Stift oder Prakti beim "managen" des Mail Eingangs, sich gedacht "höhöhö gieriege Hausfrauen da klick ich mal drauf" oder "so ein Kooperationsangebot von Trump klingt schon toll, klicken wa mal"

Zitat von halabe

welche sinnvolle möglichkeit gäbe es anhand von technik also zb 3FA/4FA oder was weiß ich noch mehr sicherheit rein zu bringen. von user seite und von YT seite?

Im Grunde ist schon alles geschrieben, hier im Thread, aber auch im weiter oben (erste Antwort) verlinktem Posting...Du könntest im betreffenden Thread evtl. noch fündig werden.

Quintessenz ist doch, dass jeder selber für seine (Internet-, Cyber-) Sicherheit selber verantwortlich ist.

Scheint schwer zu glauben zu sein, dass das doch eigentlich ungemein einfach ist, so einfach, dass mich ganz persönlich das teils naive, teils verantwortungslose, teils einfach dumme Verhalten vieler so stinkig macht, denn diese Leute schaden zwar (auch) sich selber, vor allem aber ganz vielen anderen auch, mindestens allen, die bei denen in Adressdatenlisten mit Tel.-Nummer, Email-Addi und mehr stehen.

Verhält sich ein Kfz-Führer nicht nur verantwortungslos, sondern so, dass sie/er Verkehrsunfälle u. ä. verursacht und womöglich anderen schadet, wird ihr/ihm der Lappen abgenommen...und was passiert mit Leuten, die ihren Internet-Zugang, z. B. WLan-Router garnicht schützen und so "Unfälle" verursachen? Lass ich mal so stehen...

Zitat von halabe

vielen dank für die antwort. mir gings allerdings in der letzten frage explizit darum was man von aussen noch in zukunft einrichten könnte bzw "bauen" kann? also von yt seite oder generell von technischer seite was möglich wäre. also rein theoretisch ohne den "inneren" schwachpunkt mensch...

Es ist Sch**segal was da zukünftig (in 2000 Jahren ala Star Trek Wars und anderen SciFi; sollte die Menscheit solang noch Existenzfähig sein) kommt, oder wie Einstein schon sagte:

"Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher."

Ob 1337FA, Sicherheitsschlüssel digital oder physich, Keine Anbindung ans Netz, 1000fache Verschlüsselungen, 20 Anti-Virenprogramme, KI Schutz oder ein kleiner tollwütiger Chiwawa etc.pp., der mit geringsten Aufwand zu knackende Schwachpunkt war, ist und wird es immer bleiben der Mensch und seine grenzenlose Dummheit gepaart Arroganz.

Und Informationen die Suchenden wirklich helfen gibt es da mehr als genug hier

Thema

Cybersicherheit - eure besten Tipps, Tricks & Topsecrets

Diese Woche hat sich ein Schüler an meiner Schule den Spaß erlaubt, den E-Mail-Verteiler der Schule auszunutzen, um Spammails zu verschicken. Da ist mir klar geworden wie wichtig Cyber-Sicherheit eigentlich ist. Deswegen fände ich es cool, wenn man im Anfänger-Guide oder eine extra Seite zum Thema „Wie sicher ich meinen Computer/ mein YouTube-Account vor Hackern?“ errichtet werden würde. Vielleicht könnte man auch diesen Thread dazu nutzen seine besten Tipps, geniale Seiten oder…

Movie_Nopex

7. Mai 2021

Thema

[Vorsicht] YouTube Account Diebstahl - Scams / Social Hacks / Phishing

Moin liebe YouTuber,

ich möchte Euch eine kurze Warnung geben, da momentan massiv YouTube Accounts gestohlen werden und zwar nach einem neuen Muster.


!! Sehr wichtig, bitte genau lesen, wenn Euch Euer Account lieb ist !!


Möglichkeit A) (Light, nicht ganz neu):
Die eher bekannte Variante: EIne eMail mit gefaktem Absender, die aussieht wie eine Support eMail von YouTube selbst. Entweder wird dort auf einen Claim, eine Account Sperrung oder sonstige Probleme mit dem YouTube Account hingewiesen. Man…

ZapZockt

19. Januar 2020

Daher sind auch Diskussionnen über "was könnte" und so weiter absolute Zeitverschwendung und ja, Foren sind zum diskutieren da blablub, aber es hat seinen Grund das Foren ein Todes Medium sind. Wer wirklich Hilfe sucht und nicht seine Lebenszeit ineffizient verschwenden will, findet sie oben in den beiden Threads, bzw. aus der Quintessenz jener und dieses Threads, dass es keine absolute Sicherheit gibt und dies nur ein gängiges Werbetool ist um DAUs zum Kauf von VPN yxz oder Anti-Virenprogrammen zu bekommen ...

Erstmal muss halt klar sein, dass grob 95%+ der "gehackten" Accounts niemals gehackt wurden, sondern der Faktor Mensch dort versagt. Ich denke, das ist mittlerweile klar geworden, oder? Damit ist dann aber auch der Faktor "was YouTube/Google noch dagegen tun kann", schon ziemlich eingeschränkt. Zumal wir hier von hunderten Millionen Accounts nur von den Creatorn reden, mit allen Usern sind es geschätzt wohl eher 2-3 Milliarden Accounts. Für jeden dieser Accounts zusätzliche Geräte, wie ein Extra-Pin-Reader, wie man das von früheren Bank-Accounts kennt, herzustellen, zu verschicken, etc., das wäre ein extremer Kostenfaktor und ein massiver Ressourcenverbrauch, ohne dass das eigentliche Problem, nämlich die leichtgläubigen und manchmal leicht auszutricksenden Menschen, damit sicherer wären. Und die meisten Banken haben die Pin-Reader mittlerweile durch 2FA Apps ersetzt, weil die zusätzliche Sicherheit eben halt auch nicht so hoch ist, da nicht wenige Menschen auch bei Hardware-Pin-Readern versagen, und ihre Pincodes freiweilig in das gefälschte Formular der Phishing-Seite eintragen. Da ist kein wirklicher Unterschied zwischen physikalisch erzeugtem Pin-Code oder eine 2FA-App. Und Google nutzt ja im Endeffekt das verknüpfte Telefon wie eine Art "Hardware"-Schlüssel.

Auch ein Dongle wäre möglich, also eine Art USB-Stick, auf dem ein Verschlüsselungs-Code enthalten wäre. Das hat eben genauso die gleichen Schwachstellen, wie Pincodes, 2FA-App, etc. und das gleiche Kosten- und Ressourcen-Problem. Sehr viel Aufwand, mit minimalster Wirkung.

Eine mögliche Sicherheits-Erhöhung wäre so vorzugehen, wie DDG-Leon es oben beschrieben hat. Einen extra getrennten Rechner, der nichts anderes macht, als nur die Uploads und Verwaltung bei YT und ansonsten niemals den Account benutzen, den man für seinen YouTube Channel hat, um andere Dinge damit zu machen. Das ist allerdings ein reichlicher Aufwand und erfordert für die meisten Otto-Normal- oder Olga-Normal-User, dass sie sehr viele Google-Dienste vom YouTube Account trennen müssten. Und ein größerer Kostenfaktor ist das noch obendrauf, da man einen extra Rechner besitzen muss, vom Platzbedarf für einen weiteren PC mal ganz abgesehen.

Im Endeffekt wäre mit zusätzlicher Hardware oder zusätzlichem Aufwand von Google-Seite aus nur sehr wenig Sicherheit zusätzlich zu gewinnen, denke ich. Das beste, was man tun kann, ist an den 95%+ Sicherheitsproblemen zu arbeiten, den Menschen vor dem Bildschirm, dass diese verantwortungsvoll und mit eingeschaltetem Hirn an die Sache herangehen.

Du hast in zwei Absätzen fast exakt das wiederholt, was hier nun schon mehrfach steht: Der eigentlich größte Schwachpunkt ist Mensch und dessen Verhalten, und davor kann nun mal keine Soft- oder gar Hardware schützen...was ist daran so schwer zu verstehen?

Es gibt Techniken, die solche Angriffe per 1-klick zulassen. Diese attackieren aber Sicherheitslöcher in Browsern, die in fast allen Fällen binnen Stunden oder maximal wenigen Tagen von den Browser-Herstellern gefixt wurden und vermutlich auch zukünftig werden. Dabei werden Daten aus einem Browser-Tab oder Cookie von einem anderen Tab genutzt, was eigentlich nicht erlaubt ist und technisch verhindert werden sollten. Diese Attacken funktionieren dann nach diesen Fixes nur noch auf Browsern, die nicht geupdated wurden, also wieder User-Problem, wenn man wichtige Accounts mit veralteten Browsern benutzt. Sollte man seinen Browser automatisch aktualisieren lassen, wie es die Standard-Einstellungen eigentlich vornehmen sollten, ist man extrem schwer mit solchen Attacken angreifbar.

Die meisten Angriffe sind jedoch nachgemachte Login-Seiten, die aussehen wie das Google-Login (meistens), aber oben in der Browser-Zeile ist klar zu sehen, dass man nicht auf einem Google.com Server connected ist, sondern irgendeine ellenlange merkwürdige Cloud-URL. Eine sehr erfolgreiche Attacke aus der Crypto-Ecke war sogar so dreist, dass sie einfach ein Google-Forms Formular angezeigt haben, das nicht mal ansatzweise wie der original Google-Login aussah. Und trotzdem haben eine nicht geringe Menge User ihre Login-Daten in dieses Formular eingetragen. Und natürlich haben danach viele auch noch ihre 2FA Codes ebenfalls dort eingetragen. Autsch. Und wenn man einfach immer die Logins von Google/YouTube nicht per Links ansteuert, sondern aus den Favoriten heraus, ist man nochmal eine ganze Nummer sicherer. Außer man speichert gefakte Seiten in die Favoriten.

Bei Änderungen an wichtigen Account-Settings wird meines Wissens nach auch bei Google/YouTube eine erneute Verifizierung abgefragt.

Zitat von halabe

heißt man sollte sich nach jedem upload bzw benutzen seines channels ausloggen? wer macht das wirklich von euch

Ich zum Bleistift, und zwar immer!

So schwer/schlimm ist es nicht, sich explizit ein- und nach getanem Werk wieder auszuloggen.

Es gibt Seiten, Plattformen - wie auch immer -, von denen man nach dem Schließen des Browsers automatisch "an die Luft gesetzt" wird, aber darauf verlasse ich mich einfach nicht.

Übertrieben? Für mich nicht, einige machen es anders, das muss jeder für sich selber entscheiden.

Zitat von halabe

heißt man sollte sich nach jedem upload bzw benutzen seines channels ausloggen?

Ich denke nein. Es heißt viel eher, es gibt keine 100%ige Sicherheit. YouTube versucht einen Spagat aus "So Sicher wie möglich, aber nicht so nervig, dass niemand mehr die Plattform nutzen möchte", und ich denke, das gelingt ihnen auch einigermaßen. Zumindest wenn man den sogenannten "Common Sense" nutzt und nicht völlig blind und naiv alles mögliche anklickt.

Das Internet birgt halt Gefahren, genauso wie allein auf der Straße herum zu laufen Gefahren bergen kann. Man kann vom Auto überfahren werden, man kann vom Blitz erschlagen werden, man kann einen Meteoriten oder Sateliten auf den Kopf bekommen, man kann zusammengeschlagen und/oder ausgeraubt werden, aber die Chance, dass dies passiert ist jeweils ziemlich gering, also gehen wir trotzdem raus.

Und so ist das auch bei YT, es gibt immer kleine und minimalste Gefahren, aber wenn man aufpasst, passiert mehreren Hundert Millionen Creatorn über Jahre hinweg nichts, und man sieht nur die paar Dutzend jeden Monat, die öffentlich jammern, dass sie "gehackt" wurden. Aber das ist nur ein 0,000x% Anteil (vermutlich gehören da mehr Nullen hin) der gesamten Creator-Community. Gehirn aktiv lassen, genau hinschauen und genau lesen, bevor man irgendwas anklickt, installiert, akzeptiert, die normale Sicherheit nutzen und normale Updates machen und dann ist die Gefahr schon sehr gering, dass was passieren wird. Und null wird sie niemals sein, selbst wenn man sich einen Bunker baut, und tausend Stufen Sicherheitsmaßnahmen einrichtet.