Специалисты рассказали про новые способы кражи Steam-аккаунтов
Учетные записи похищают даже у внимательных игроков
Компания Group-IB сообщила о новом способе кражи Steam-аккаунтов. Мошенники начали использовать недавно исследованную фишинговую технику Browser-in-the-browser — из-за этого фейки практически невозможно отличить от оригинальных страниц Steam. Специалисты Group-IB уже связались с компанией Valve, разработчиком Steam, и предупредили об угрозе для пользователей сервиса.
С помощью новой техники кражи злоумышленники могут создавать прямо на фишинговом ресурсе всплывающее поддельное окно браузера, неотличимое на первый взгляд от настоящего. Чтобы заманить жертв на страницу-приманку с кнопкой входа в учетную запись, злоумышленники отправляют пользователям в тематических чатах и пабликах сообщение с предложением присоединиться к киберспортивному турниру по популярным играм (например, Counter-Strike, Dota 2, PUBG), проголосовать за одну из команд, приобрести билеты на мероприятие, получить внутриигровой предмет или скин. Еще один способ заманить пользователей на фишинговый сайт — реклама в популярном видео с игрой (запись стрима, геймплей) или в описании к нему.
Применяя технику Browser-in-the-browser, злоумышленники пользуются тем, что на платформе Steam аутентификация происходит во всплывающем окне, а не в новой вкладке. В отличие от большинства мошеннических ресурсов, которые открывают фишинговую страницу в новой вкладке или делают переход, новая техника открывает поддельное окно браузера на прежней вкладке.
При этом практически каждая кнопка на мошенническом ресурсе открывает форму ввода данных учетной записи, повторяющую оригинальное окно Steam. Во всплывающем окне есть фальшивый «зеленый замочек» — иконка SSL-сертификата организации. Ссылка в адресной строке поддельного окна не отличается от оригинальной — её можно выделить, скопировать, открыть в другой вкладке. Кнопки работают корректно, окно можно двигать по экрану. Кроме того, на обнаруженных в июле фишинговых ресурсах есть возможность выбора из 27 языков.
После того, как пользователь вводит данные в фишинговой форме, они сразу же отправляются злоумышленнику и автоматически вводятся на официальном ресурсе. Если ввести данные некорректно (один из способов проверки подлинности ресурса из игровых пабликов), то новая фишинговая форма сообщит об ошибке, как «настоящий» Steam. Если у жертвы включена двухфакторная аутентификация, то мошеннический ресурс покажет запрос кода в дополнительном окне.
«Похоже, прежние советы, которые несколько лет назад помогали геймерам определить фишинговый сайт, сегодня уже бесполезны против нового метода мошенников. Фишинговые ресурсы, использующие технологию Browser-in-the-browser, представляют опасность даже для опытных пользователей Steam, соблюдающих основные правила кибербезопасности, — отметил Александр Калинин, руководитель Центра реагирования на инциденты информационной безопасности Group-IB. — В отличие от распространенных мошеннических схем, в которых наборы готовых инструментов для фишинговых страниц разрабатываются для продажи, решения Browser-in-the-browser для Steam держатся злоумышленниками в секрете. Мы обращаем внимание игрового коммьюнити на новую схему мошенничества и призываем соблюдать рекомендации и быть внимательными при вводе своих данных».
В Group-IB дали советы, как отличить фишинговую форму Browser-in-the-browser:
- Сверить дизайн заголовка и адресной строки открывшегося окна. Подделка может отличаться от стандартной для вашего браузера. Стоит обратить внимание на шрифты и вид кнопок управления.
- Проверить, открылось ли новое окно в панели задач. Если нет — окно поддельное.
- Попытаться увеличить/уменьшить окно — поддельное не предоставляет такой возможности. Также не получится его развернуть на весь экран.
- Окно ограничено экраном браузера — его не получится передвинуть на элементы управления изначальной вкладки.
- Кнопка сворачивания поддельного окна просто закрывает его.
- В фишинговой форме «замочек», отображающий сертификат, — обычное изображение. При нажатии на него не произойдет ничего, тогда как настоящий браузер предложит посмотреть информацию об SSL-сертификате.
- Поддельная адресная строка не функциональна. В некоторых случаях она не позволяет ввести другой URL, но даже если позволит — перейти на него в этом же окне будет невозможно.
- Окно перестанет появляться при отключении исполнения JS-скриптов в настройках браузера.
Источник: пресс-релиз
Ещё на PLAYER ONE:
- Десять лучших скидок Steam этой недели
- Half-Life побила исторический рекорд онлайна в Steam
- Ягненок и паучок: названы самые успешные игры недели в Steam
- В Steam появилась долгожданная функция