Group-IB в июле 2022 года выявила более 150 мошеннических сайтов, которые маскируются под Steam – одну из наиболее популярных в мире онлайн-платформ по продаже компьютерных игр. Чтобы угнать учетные записи пользователей Steam, киберпреступники применяют недавно обнаруженный фишинговый способ Browser-in-the-browser. Благодаря чему создаваемые фейковые страницы практически невозможно отличить от оригинальных страниц Steam.
Специалисты Group-IB поговорили с представителями компании Valve, разработчиком Steam, а также направили информацию о выявленной угрозе для пользователей сервиса.
Эксперты Group-IB обнаружили, что для кражи учетных данных пользователей Steam без лишних подозрений киберпреступники начали применять новый фишинговый способ Browser-in-the-browser. Эта техника впервые была описана всего несколько месяцев назад.
С ее помощью можно создавать непосредственно на фишинговом сайте специально всплывающее поддельное окно браузера, которое от настоящего отличить практически невозможно. Чтобы заманить пользователей Steam на поддельную страницу с формой авторизации в учетной записи, киберпреступники отправляют в соответствующих игровых чатах и пабликах сообщения с предложением присоединиться к киберспортивным турнирам, популярным играм, проголосовать за любимую киберкоманду, купить билеты на офлайн-мероприятия, получить внутриигровые предметы или скины.
Еще одним способом заманивания пользователя на фишинговый ресурс является реклама, которая размещается в записях стримеров, видеороликах с демонстрацией геймплея, в видео с хайлайтами киберспортивных игр и т. д.
При использовании техники Browser-in-the-browser киберпреступники пользуются тем, что в рамках платформы Steam аутентификация осуществляется как раз во всплывающем окне, а не в отдельной вкладке. В отличие от многих мошеннических сайтов, которые открывают новую фишинговую страницу в отдельной вкладке, техника Browser-in-the-browser позволяет открыть поддельное окно браузера в прежней вкладке.
Если пользователь решит ввести в этом всплывающем окне свои учетные данные, то они мгновенно будут отправлены киберпреступникам и автоматически введены на реальном сайте Steam. Если данные будут введены некорректно, что является одним из способов проверки фишинговости сайта, то система сообщит, об ошибке, как и на реальном сайте.
Если жертва имеет двухфакторную аутентификацию, то мошеннический сайт также покажет форму для ввода кода из мобильного приложения в дополнительном окне.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
