Xakep #305. Многошаговые SQL-инъекции
Журналисты Bleeping Computer предупредили, что недавно мошенники захватили три YouTube-канала, дали им новые названия, связанные с компанией SpaceX, а затем запустили фейковые «трансляции» с Илоном Маском, в ходе которых проводили фиктивные раздачи биткоинов. Таким образом злоумышленники выманили у пользователей более 150 000 долларов в криптовалюте всего за два дня.
Уже много лет разные мошенники время от времени выдают себя за Илона Маска и компанию SpaceX, прикрывая тем самым свои вредоносную деятельность. В частности, преступники любят проводить от имени Маска фейковые раздачи криптовалют, обещая пользователям огромные прибыли, если те сначала отправят им немного биткоинов.
Теперь журналисты сообщают, что недавно неизвестные злоумышленники взломали каналы Juice TV, Right Human и MaximSakulevich, а затем переименовали их в SpaceX Live и SpaceX. Один из угнанных каналов имел 230 000 подписчиков, а другой —131 000 подписчиков. При этом настоящий канал SpaceX на YouTube насчитывает 4,33 миллиона пользователей.
Все захваченные каналы транслировали интервью и различные выступления Илона Маска или конференции SpaceX, выдавая эти записи за живые стримы. На таких стримах мошенники рекламировали фейковые раздачи биткоинов и просили зрителей прислать им небольшое количество криптовалюты, чтобы поучаствовать в раздаче и получить обратно уже удвоенную сумму.
К сожалению, на удочку скамеров попалось множество пользователей. Bleeping Computer пишет, что одну из трансляций смотрело примерно 80 000 человек, и начиная с 8 июня 2020 года мошенники сумели «заработать» таким образом примерно 150 000 долларов в биткоинах.
Так, один канал просил пользователей отправлять биткоины на адрес 1ELonMUSK14JSGNYAcPJNqubuFByZPyjcj. Как можно видеть, мошенники получили более 30 переводов на общую сумму 5,51 BTC. Эта сумма эквивалентна 53 600 долларам США по текущему курсу.
Другой канал использовал адрес 3EtrSPskMRgwEEE9onLdmwcAFqaH9jj9rM и был даже успешнее первого: на этот адресу поступило 85 транзакций на общую сумму 11,25 BTC, то есть 109 606 долларов США.
В настоящее время все три взломанных канала уже были удалены или заблокированы, а журналисты в очередной раз напоминают пользователям о «золотом правиле» — избегать любых раздач криптовалюты и рекламных акций, если их организаторы обещают удвоить (утроить и так далее) любую сумму, которую им отправят.