Conforme a revista Super, muitos youtubers famosos já tiveram os canais invadidos, e não sabem como aconteceu. Afinal, eles usavam autenticação de dois fatores, e não abriram nenhum arquivo suspeito. Mas o ataque pode ser bem mais simples – e mais perigoso – do que isso.
Se você acompanha canais do YouTube, é bem provável que algum deles já tenha sido hackeado. Muitos canais grandes, com milhões de seguidores, foram invadidos nos últimos dois ou três anos – e isso continua acontecendo.
Os hackers geralmente usam o canal roubado para transmitir lives promovendo criptomoedas, enquanto a vítima fica perplexa, sem entender como aquilo pode ter acontecido. Afinal, ela tinha uma senha difícil, usava autenticação de dois fatores (2FA) e não executou nenhum arquivo. Como é possível, mesmo assim, que hackers consigam invadir contas do YouTube?
Há casos em que o youtuber, embora nem sempre admita isso publicamente, executou sim um arquivo com vírus. Os hackers entram em contato por email, dizem que são de uma empresa de games ou software e querem fazer um vídeo patrocinado, no qual o youtuber irá testar seu produto.
Para fazer isso, ele tem de baixar e rodar o tal programa. Aí já era: o vírus rouba os cookies, arquivos de texto que ficam guardados no computador e contêm as senhas dos sites, e manda para o hacker. Ele usa os cookies para se logar nas contas da vítima.
Como o YouTube nunca se manifestou a respeito desses casos, eles foram motivando uma série de especulações. Há quem diga que o ataque possa envolver interceptação de SMS (para redefinir a senha) ou explore vulnerabilidades em aplicativos de terceiros, que os youtubers usam para administrar os canais. É possível. Mas existe um método mais simples e discreto, e por isso mais perigoso. Ele não usa vírus, e consiste em fazer a vítima clicar num link, que chega por email.
Um reles link. Se a pessoa clicar, abre-se uma página de aspecto inofensivo – que também pode ser totalmente em branco, ou simular uma falha de carregamento. Mas dentro dela há um código, em JavaScript, que rouba cookies. Isso não deveria ser possível, já que cada página da web só tem acesso aos cookies que ela mesma criou. Porém, em determinadas circunstâncias, há como driblar essa barreira.
Mas peraí: e a autenticação de dois fatores? Afinal, o hacker pode até roubar os cookies com as senhas dentro, mas não vai conseguir se logar sem a 2FA, certo? Errado. Cada site cria um ou mais cookies, de vários tipos e com várias funções.
Entre eles, os “cookies de sessão”: que são temporários, ou seja, duram apenas uma sessão de uso, e servem para mostrar aos diversos servidores do site (como os que enviam as páginas e os vídeos, por exemplo) que você já passou pelo servidor de autenticação, incluindo 2FA, e está logado. Roubando esses cookies temporários, o hacker consegue burlar a autenticação dupla.
Em suma: não basta não executar arquivos suspeitos. Também é muito importante não clicar em links estranhos – ou, se você realmente quiser fazer isso, pelo menos usar um navegador separado, que não esteja logado em nenhuma conta (e, portanto, não tenha nenhum cookie sensível guardado).