日前，Google發佈了一份報告，其詳細介紹了針對YouTube使用者的網路釣魚活動，其中涉及約15000個虛假帳號和超過100萬條針對目標的資訊。 這些網路釣魚企圖是由多名駭客實施的，該公司表示，自2019年底以來，它已經恢復了約4000個帳號。

不過，攻擊者並不只是想讓創作者把他們的密碼輸入一個假網站–而是試圖用惡意軟體感染他們的電腦並竊取他們的登錄cookie，這比發送一個連結並等待有人對密碼馬虎了事的攻擊要密集得多。

YouTube沒有公開說誰在招募駭客，只說他們在使用俄語論壇做廣告。 該活動的重點是YouTube帳號，而不是政府計算機系統或銀行等傳統目標，這表明獲得有影響力的人的社交帳戶和受眾的注意力是多麼有價值。

駭客的工作方式一般是這樣的：駭客聯繫YouTube使用者，假裝提供廣告交易，在其頻道上推廣VPN、殺毒軟體或其他軟體。 如果創作者同意，他們就會得到一個連結，如果點擊就會用各種惡意軟體感染他們的電腦，通常是為了竊取cookies和密碼。

由於雙因素認證的盛行，cookies可能是一個特別有價值的目標–駭客正在尋找網站用來存儲用戶登錄會話的cookies。

如果駭客得到了YouTube的cookie（並能在其過期前使用），那麼他們可能已經能接管該頻道，甚至有可能改變密碼以鎖定合法擁有者。 當然，由於YouTube帳號跟Google賬號綁定，這類攻擊還會使駭客能夠訪問Gmail、Google Drive、Photos和其他與該賬號綁定的服務。

根據Google的說法，在所有這些工作之後，駭客能夠以3到4000美元的價格出售這些帳號。 雖然這對於擁有大量訂閱者的YouTube賬號來說感覺相對便宜，但數位可能如此之低是因為駭客想抓住他們認為可以真正賺錢的帳號–去年，技術洩密者Jon Prosser告訴Motherboard，駭客通過在他的頻道上直播一個騙局–承諾將觀眾送來的比特幣翻倍–從中賺取了1萬美元。

這個活動及類似的活動可能是Google今年早些時候宣佈要求YouTube創作者開啟兩步驗證以及它每年向「高風險使用者」贈送成千上萬的安全鑰匙的一個激勵因素的原因。 它們不能阻止已經接管使用者的電腦的駭客，但讓攻擊變得更昂貴可能有助於減緩他們的速度。

另外，Google還一直在以其他方式打擊駭客以阻止他們的電子郵件和檔以及在用戶訪問Chrome中的惡意網站時發出警告。 但鑒於創作者賬號的價值，犯罪分子可能不會被勸阻去嘗試獲取它們–就像在YouTube上出現的詐騙評論一樣，在可預見的未來，不斷演變的網路釣魚攻擊可能會成為網路生活的一部分。