Eksperci z Group-IB odkryli grupę hakerów używających nieuchwytnego zestawu phishingowego, aby spróbować zwabić graczy do podania swoich danych logowania do Steam, a gdy już to zrobią, oszuści zmienią loginy i będą próbowali sprzedać ich konta na czarnym rynku.
Kradzieże mogą być rzekomo dość lukratywne, a niektóre z bardziej znanych kont podobno mogą zostać sprzedane nawet za 100 000 do 300 000 dolarów za sztukę.
Grupa przestępcza działa na Discordzie lub Telegramie i wykorzystuje zestaw phishingowy zdolny do ataków typu „browser-in-browser”, co nie jest tak szeroko rozpowszechnione wśród społeczności cyberprzestępczej, jak niektóre inne narzędzia.
Sposób działania jest niezbyt skomplikowany – hakerzy próbują dotrzeć do profesjonalnych graczy na Steamie i zaprosić ich do turnieju w jeden z bardziej popularnych tytułów, takich jak League of Legends, Counter-Strike, Dota 2 czy PUBG. Zaproszenie jest opatrzone linkiem, który przenosi ofiarę na stronę internetową, która wygląda na należącą do organizacji sponsorującej i organizującej turnieje esportowe.
fot. Group-IB
Aby zapisać się do turnieju, ofiary zostają poproszone o zalogowanie się na swoje konto Steam, co będzie wyglądało, jak zwykłe wyskakujące okno logowania. Jednak ta strona logowania nie jest popupem przeglądarki, ale raczej całym fałszywym oknem, utworzonym w ramach bieżącej strony. To sprawia, że ofiara ma ogromny problem z zauważeniem, że jest atakowana, zwłaszcza że link w pasku wyszukiwania wygląda na prawdziwy, jest też oznaczony zieloną kłódką.
Po wpisaniu swoich danych uwierzytelniających, ofiary zostają również poproszone o podanie kodu 2FA, a jeśli nie podadzą właściwego, strona wyświetli komunikat o błędzie. Jeśli jednak podadzą właściwy kod, zostaną przekierowani na legalny adres URL, co jeszcze bardziej maskuje kradzież.
Oczywiście próbą phishingu może być nie tylko zaproszenie do turnieju, ale np. obietnica darmowego przedmiotu czy skórki do gry, czy wygrania biletów na Intel Extreme Masters w Spodku.
Ogólnie rzecz biorąc, najlepszym sposobem na obronę przed tego typu atakami jest zablokowanie JavaScript, ale biorąc pod uwagę, że tak agresywny środek zapobiegawczy sprawiłby problemy na wielu popularnych stronach internetowych, nie każdemu można go polecić. Zamiast tego, gracze (a w zasadzie wszyscy) powinni zachować szczególną czujność podczas otwierania jakichkolwiek linków gdziekolwiek, a zwłaszcza na Discordzie i Telegramie. I zwiększenia czujności, gdy jakaś strona żąda danych logowania, czy to do Steama czy jakiegokolwiek innego serwisu.