1826 Locust Street, Bainbridge, GA 31717 +1 (212) 269-1000 support@example.com

WebDesign si optimizare SEO

logo absolut web expert 99a

Promovare prin backlink

Conturi Steam furate folosind atacul browser-in-the-browser

Conturi Steam furate folosind atacul browser-in-the-browser

Steam și gama sa vastă de pasionați de jocuri care folosesc platforma au fost multă vreme o țintă pentru infractorii cibernetici, fie pentru a frustra utilizatorii, fie pentru a face sume semnificative de bani, deturnând conturi și vânzându-le. Acum, atacurile folosesc o metodă de phishing recent descoperită, cunoscută sub numele de atac Browser-in-Browser, pentru a urmări conturile Steam ale jucătorilor profesioniști cunoscuți. Acest lucru este conform unui nou raport al Grupului-IB.

Pe scurt, un atac Browser-in-the-Browser permite atacatorului să creeze ecrane de conectare false ca pop-up pentru organizația vizată.

 Această metodă de atac a fost descoperită de cercetătorul de securitate mr.d0x care descrie de ce atacul poate fi incredibil de reușit și dăunător victimei, după cum urmează:

„Cu această tehnică, suntem acum capabili să ne îmbunătățim jocul de phishing. Utilizatorul țintă ar trebui să ajungă pe site-ul dvs. web pentru ca fereastra pop-up să fie afișată. Dar, odată aterizat pe site-ul web deținut de atacator, utilizatorul va fi în largul său când își va introduce datele de conectare pe ceea ce pare a fi site-ul web legitim (deoarece URL-ul de încredere spune așa).”

De când noua metodă de phishing a fost descoperită în martie 2022, firmele de securitate au văzut ferestre pop-up false de conectare create pentru Steam, Windows și Google.

În ceea ce privește motivul pentru care un atacator ar dori să obțină acces și să fure în mod eficient un cont Steam, o platformă pentru descărcarea și jocul de jocuri pe computer, Group-IB raportează că vânzarea accesului la un cont proeminent poate aduce atacatorului între 100.000 și 300.000 USD.

 

Toate atacurile de phishing de succes necesită un fel de momeală pentru a-și atrage victima să predea acreditările de conectare.

Campaniile care folosesc această metodă de atac au folosit o varietate de momeli ademenitoare pentru o mare varietate de comunități de jocuri și includ oferte pentru a te alătura unei echipe populare de eSports sau bilete cu reduceri pentru ligile populare de eSport, inclusiv ESL.

În alte cazuri, reclamele pentru skin-uri gratuite de joc au fost folosite ca o momeală care a redirecționat către operațiunile de phishing ale atacatorilor. Cu privire la cine sunt exact atacatorii este o mare necunoscută. Ceea ce se știe, totuși, este că atacatorii nu sunt o operațiune de phishing-as-a-service.

Mai degrabă, sunt mai strâns unite, posibil folosind Discord sau Telegram pentru a coordona atacurile în mod privat.

Pentru cei care fac clic pe pagina de conectare pop-up, poate fi foarte dificil să detecteze că aceasta este o încercare de phishing. Pagina de autentificare Steam falsă include un semn de blocare verde fals, un câmp URL fals care poate fi copiat și chiar o fereastră Steam Guard suplimentară pentru autentificarea cu doi factori.

Copia URL HTTPS cu pictograma de blocare este deosebit de supărătoare, deoarece atacatorul poate copia pur și simplu adrese URL legitime. Unul dintre lucrurile cărora li se spune utilizatorilor să prevină phishingul este să verifice de două ori adresa URL, acum o adresă URL legitimă tocmai copiată îi împiedică pe utilizatori să aplice această tactică de atenuare.

Pentru a adăuga și mai multă legitimitate, utilizatorii pot fi selectați între 27 de opțiuni de limbă diferite pe pagina de conectare falsă.

Acest lucru se face cu câteva scripturi JavaScript, mai degrabă decât cu scripturi PHP utilizate de obicei în campaniile de phishing. În campania de mai sus, atacatorii au ocolit chiar și autentificarea multifactorială, cercetătorii afirmând:

„Dacă victima a activat autentificarea cu doi factori, resursa returnează o solicitare de cod. Codul este creat folosind o aplicație separată, care trimite o notificare push către dispozitivul utilizatorului.”

Browser-in-the-Browser versus phishing tradițional

Pentru a înțelege de ce tactica Browser-in-the-Browser, sau pur și simplu BitB, poate fi atât de eficientă încât ajută la compararea cu metodele tradiționale de phishing.

În atacurile tradiționale de tip phishing, formularul de introducere a datelor este afișat pe o pagină web falsă, adesea cu o adresă URL creată pentru a imita cât mai bine pe cât pot atacatorii pagina legitimă reală, alternativ, utilizatorii sunt redirecționați către pagina controlată de atacator.

După cum sa menționat mai sus, într-un atac Browser-in-Browser, formularul de introducere a datelor este prezentat ca un pop-up, la fel ca Steam în realitate.

Deoarece este o fereastră pop-up, URL-ul web legitim poate fi copiat și pictograma pentru un certificat SSL, lacătul, poate fi afișată cu relativă ușurință. În mod tradițional, paginile de phishing nu pot afișa pictograma de lacăt, deoarece nu pot obține un certificat SSL.

Acest lucru ridică întrebarea, cum se poate apăra împotriva unui astfel de atac, având în vedere că aproape întreaga campanie este manipulată pentru a păcăli utilizatorii folosind tactici de securitate pe care le aplică deja.

Opțiunea nucleară este să blochezi browserul să activeze scripturi javascript. Deoarece atacul se bazează pe JavaScript pentru a reda fereastra pop-up și pentru a trimite acreditările furate către un server de comandă și control controlat de atacator.

Aceasta nu va fi o alegere populară, deoarece majoritatea site-urilor web se bazează pe JavaScript pentru a oferi funcționalitatea și experiența utilizatorului de care paginile web trebuie să fie considerate utile.

Cercetatorul de securitate, mr.d0x, a declarat pentru Bleeping Computer că una dintre modalitățile de a detecta un atac BitB este să încercați să mutați fereastra pop-up dincolo de fereastra originală a browserului.

Dacă fereastra pop-up trece sub granițele browserului, atunci se poate presupune că este un atac BitB. Cercetătorii Grupului IB au furnizat, de asemenea, următoarele tactici de atenuare:

  • Verificați dacă o nouă fereastră este deschisă în bara de activități, presupunând că degrupați programele din bara de activități Windows 10. Dacă nu există o nouă fereastră din bara de activități, atunci aceasta nu este o fereastră reală. Din păcate, Windows 11 nu acceptă degruparea în acest moment.
  • Încercați să redimensionați fereastra. Dacă nu puteți, este probabil o fereastră de browser falsă.
  • Ferestrele false ale browserului BiTB se vor închide dacă le minimizați.

 Sursa: PC Risk

Noutăti pe email