کسب‌وکار مجرمان سایبری از خلأهای امنیتی یوتیوب

در کنار ویدیوهای معمولی، یوتیوب شاهد افزایش کلاهبرداری‌ها، دیپ‌فیک‌ها و تبلیغاتی بوده که لینک‌های مخرب را پشت لوگوهای آشنا پنهان می‌کنند. بدافزارهای پنهان در آموزش‌ها، حساب‌های کاربری هک‌شده‌ی تولیدکنندگان محتوا و ویدیوهای جعلی سرمایه‌گذاری از مشکلات تکرارشونده‌ی این پلتفرم هستند.

چرا یوتیوب آسیب‌پذیر است؟

ساختار طراحی یوتیوب نظارت بر محتوا را دشوار کرده است. مهاجمان از همان روش‌هایی برای جذب مخاطب استفاده می‌کنند که تولیدکنندگان عادی برای رشد کانال خود به کار می‌گیرند. میزان زمان تماشا، لایک و نظرها باعث می‌شود ویدیوهای کلاهبرداری سریع‌تر در پیشنهادها ظاهر شوند، پیش از آن‌که ناظران بتوانند مداخله کنند.

پژوهشگران می‌گویند بسیاری از این ویدیوها از قالب‌های معمول ویدیوهای آموزشی یا تبلیغاتی تقلید می‌کنند. گوینده‌های پرانرژی، تصویر شاخص تمیز و برندهای شناخته‌شده، به آن‌ها ظاهری واقعی می‌دهد. برخی نیز با موضوعات داغی مانند «ربات‌های معاملاتی هوش مصنوعی» یا «نرم‌افزارهای رایگان» همراه می‌شوند تا کاربران جویای آموزش ساده را هدف قرار دهند.

بازار خرید و فروش حساب‌های قدیمی یوتیوب هم به این مشکل دامن زده است. این حساب‌ها به‌دلیل دنبال‌کننده‌های موجود و اعتماد الگوریتم، برای مجرمان ارزشمندند. ترکیب آن‌ها با ویدیوهای تولیدشده توسط هوش مصنوعی، انتشار انبوه محتوای جعلی را بسیار آسان کرده است.

یوتیوب، بستر جدید برای کمپین‌های بدافزاری

پژوهشگران اخیراً یک عملیات گسترده بدافزاری با نام "شبکه شبح یوتیوب" (YouTube Ghost Network) را شناسایی کرده‌اند. در این طرح، بیش از ۳۰۰۰ ویدیو در کانال‌های جعلی یا هک‌شده منتشر شده بود که وعده نسخه‌های کرک‌شده نرم‌افزار یا ابزارهای تقلب در بازی‌ها را می‌دادند، اما در واقع کاربران را به صفحات فیشینگ یا لینک‌های آلوده هدایت می‌کردند.

این نوع تقلب‌ها معمولاً نوجوانان و گیمرهای کنجکاو را هدف می‌گیرند که به‌دنبال ابزارهای تقلب یا ارتقای عملکرد در بازی‌ها هستند.

در پرونده‌ای مشابه، شرکت امنیتی Bitdefender از کلاهبرداری‌ای پرده برداشت که از تبلیغات فیس‌بوک به یوتیوب و گوگل‌ادز منتقل شده بود. در این طرح، مجرمان با وعده دسترسی رایگان به نسخه پریمیوم TradingView، کاربران را فریب می‌دادند. آن‌ها با هک حساب تبلیغاتی یک شرکت طراحی نروژی و تصاحب یک کانال تأییدشده یوتیوب، خود را به‌جای برند TradingView جا زده بودند و حتی از همان لوگوها، بنرها و لیست پخش رسمی استفاده کردند.

دیپ‌فیک‌ها؛ سوخت تازه برای کلاهبرداری‌های رمزارزی

با افزایش علاقه عمومی به بیت‌کوین، مجرمان سایبری شروع به استفاده از ویدیوهای دیپ‌فیک چهره‌های مشهور برای تبلیغ سرمایه‌گذاری‌های جعلی کرده‌اند.

گزارش SentinelLabs از موجی از کلاهبرداری‌های رمزارزی خبر می‌دهد که در آن مهاجمان با ترفند «ربات معاملاتی رمزارز» کاربران را ترغیب به اجرای قراردادی هوشمند می‌کنند که در واقع برای سرقت سرمایه طراحی شده است. این ویدیوها در یوتیوب منتشر می‌شوند و گام‌به‌گام نحوه راه‌اندازی قرارداد را در محیط Remix (ابزار برنامه‌نویسی Web3) آموزش می‌دهند.

در یکی از نمونه‌های شاخص، دیپ‌فیکی از مدیرعامل انویدیا، جنسن هوانگ با پخش زنده جعلی از کنفرانس GTC در یوتیوب توانست حدود ۱۰۰ هزار بازدید جذب کند و حتی قبل از حذف، بالاتر از پخش اصلی در نتایج جست‌وجو قرار گرفت.

احتمال افزایش کلاهبرداری‌ها تا سال ۲۰۲۶

کارشناسان پیش‌بینی می‌کنند که در سال ۲۰۲۶، فعالیت‌های کلاهبرداری در یوتیوب افزایش یابد؛ زیرا ابزارهای هوش مصنوعی تولید و انتشار ویدیوهای جعلی را ساده‌تر و ارزان‌تر کرده‌اند. این فناوری‌ها احتمالاً باعث رشد دیپ‌فیک‌های مربوط به چهره‌های عمومی و موج تازه‌ای از کلاهبرداری‌های سرمایه‌گذاری خواهند شد.

کملیا چان، مدیرعامل شرکت X-PHY، می‌گوید:

"با دیپ‌فیک‌ها باید مانند سایر تهدیدات سایبری برخورد کرد و ذهنیت “عدم اعتماد” را در پیش گرفت؛ یعنی هیچ چیز را صرفاً به‌دلیل واقعی به‌نظر رسیدن، باور نکنید."

برآورد شرکت Deloitte نشان می‌دهد زیان ناشی از کلاهبرداری‌های مرتبط با هوش مصنوعی در آمریکا می‌تواند تا سال ۲۰۲۷ به ۴۰ میلیارد دلار برسد، در حالی که این رقم در سال ۲۰۲۳ حدود ۱۲.۳ میلیارد دلار بوده است.

به گفته تحلیلگران، شبکه‌های هماهنگ از حساب‌های جعلی در آینده رایج‌تر می‌شوند؛ حساب‌هایی که با هم تعامل دارند تا واقعی به‌نظر برسند. همچنین خرید یا تصاحب کانال‌های معتبر همچنان ادامه خواهد داشت. سیستم تبلیغاتی یوتیوب نیز همچنان نقطه ضعف بزرگی است که به مجرمان فضای کافی برای درج لینک‌های مخرب در ظاهر ایمن می‌دهد.