Como proteger sua conta no YouTube de criminosos

Golpes envolvendo o roubo de canais no YouTube, atingindo criadores de nível médio até grandes nomes da plataforma, tornaram-se comuns no segundo semestre de 2020. Golpistas, de olho nos números destes usuários, tentam obter controle sobre os espaços de forma a dar aparência de legitimidade a fraudes que, normalmente, envolvem criptomoedas e os nomes de investidores reconhecidos e celebridades.

• Golpistas estão tentando roubar canais no YouTube; saiba como se proteger
• “Ladrões” de canais no YouTube podem ter feito mais de 300 vítimas em dois dias
• Canal do youtuber Zangado, com 4 milhões de inscritos, é hackeado

Aconteceu, por exemplo, com Zangado, um dos principais YouTubers de games do país, que viu seu canal sendo desfigurado no início de dezembro justamente desta maneira. Os criadores de conteúdo de jogos, aliás, parecem ser os alvos preferenciais de criminosos que tentam, cada vez mais, sofisticar os ataques, de forma a obterem as credenciais de acesso às contas que são rapidamente desfiguradas enquanto seus responsáveis originais ficam trancados para o lado de fora.

Enquanto isso, os usuários continuam a ser a principal barreira de segurança contra essas tentativas que envolvem, justamente, a engenharia social como forma de ludibriar as vítimas. Softwares antivírus nem sempre conseguem agir a tempo ou impedir uma exploração, fazendo com que todo cuidado seja necessário, para evitar a perda do trabalho de anos em um único clique.

Como o golpe acontece?

Conhecer o funcionamento dessas tentativas ajuda a manter os canais seguros. As fraudes normalmente acontecem por meio de e-mails cadastrados nos próprios espaços e disponibilizados pelo YouTube como forma de contato com os criadores. Aos endereços, são enviadas propostas publicitárias ou solicitações para testes de aplicativos ou jogos de forma antecipada, o tipo de conteúdo que sempre soa um bocado interessante para os YouTubers.

É justamente por isso que os criadores voltados para games acabam sendo as principais vítimas. Em uma análise recente feita pelo hacker ético Gabriel Pato, o jogo Far Cry 6 foi utilizado como isca para roubar canais, com os criminosos utilizando uma técnica chamada spoofing para fingir que o convite para um teste antecipado do título foi enviado pela própria Ubisoft, a desenvolvedora do game.

Foi uma campanha rápida, mas que aparentou ter bastante sucesso, com mais de 300 vítimas em potencial durante um período de apenas 48 horas. Por meio da mensagem, também enviada em nome de um funcionário real da produtora, os usuários eram levados a uma negociação por meio do WhatsApp e, uma vez que aceitavam o suposto teste, recebiam um link para download de malwares disfarçado de cliente para acesso ao game.

A exploração não envolve o roubo de credenciais de acesso, mas sim, de cookies do navegador. Sendo assim, os bandidos são capazes de burlar até mesmo sistemas de autenticação em duas etapas, já que roubam sessões em andamento, já logadas no YouTube. Assim, passam a ter controle total sobre o canal, removendo vídeos, alterando a identidade do espaço e iniciando a segunda fase do golpe.

Conteúdos ao vivo são colocados no ar, com palestras reais de investidores ou entidades ligadas a criptomoedas, com uma promessa de ganhos em dobro para qualquer valor enviado a uma carteira específica. O endereço, claro, pertence aos hackers, que não fazem devolução alguma e ficam com todo o dinheiro enviado, enquanto o alto número de inscritos e visualizações, bem como a aparência semelhante às dos canais oficiais das instituições ou celebridades, faz parecer que toda a proposta é real.

Como se proteger

A principal dica para não perder o canal do YouTube para os golpistas é jamais clicar em links que sejam enviados por e-mail ou mensageiros instantâneos. O ideal é prestar atenção em propostas comerciais que envolvam links para download antecipado de aplicativos ou jogos, bem como supostas integrações da conta na plataforma com serviços desconhecidos.

No caso dos e-mails, é importante ficar de olho nos domínios pelos quais a mensagem foi enviada, descartando qualquer comunicação que chegue por meio de serviços gratuitos como Gmail, Outlook e outros. Comparar os sites e comunicações oficiais com aquelas suspeitas de serem um golpe também é um bom caminho para identificar tentativas de manipulação.

Além disso, e principalmente nos casos em que há suspeita de falsificação de domínios de e-mail, é importante citar que negociações oficiais dificilmente envolverão o contato por meio do WhatsApp. Da mesma forma, vale a pena verificar a identidade do interlocutor antes de aceitar qualquer termo, preencher cadastros e, novamente, baixar supostas soluções.

A indicação para evitar os downloads vale, principalmente, para os criadores de conteúdo de games. Testes antecipados normalmente acontecem por meio de plataformas oficiais ou marketplaces oficiais de produtoras, como Steam, Origin e Ubisoft Connect, para citar alguns exemplos. Os representantes da marca costumam enviar códigos para validação em tais sistemas, e não links para baixar diretamente os clientes de acesso aos títulos.

É importante, ainda, ter sistemas de verificação em duas etapas ativados na conta. Utilize senhas seguras e, de preferência, aleatórias, sem as repetir em mais de um serviço, enquanto a validação adicional serve como medida extra caso suas credenciais vazem ou sejam comprometidas. Por mais que o golpe de roubo dos canais, especificamente, seja capaz de burlar esse tipo de barreira, outras tentativas de intrusão não são, garantindo maior controle sobre os próprios perfis.

O YouTube também disponibiliza guias de melhores práticas e uma central de segurança para ajudar os criadores a protegerem suas contas. Caso você seja vítima de um golpe, o ideal é entrar em contato com a plataforma e utilizar os recursos de recuperação de conta, ainda que uma resposta direcionada possa demorar a chegar, devido ao alto volume de solicitações de suporte.