Group-IB рассказала о новой схеме кражи аккаунтов пользователей видеоигрового сервиса Steam

Компания по кибербезопасности Group-IB раскрыла новый способ кражи аккаунтов пользователей видеоигрового сервиса Steam с помощью фишинговой техники Browser-in-the-Browser. Она позволяет создать в окне сайт, почти неотличимый от настоящего, говорится в сообщении на сайте компании.

Новая схема предполагает, что злоумышленник создает на фишинговом ресурсе всплывающее окно, скопированное с настоящего сайта. В нем обычно присутствует интерфейс для входа в учетную запись.

Чтобы заставить жертву перейти на ресурс и воспользоваться этим окном, злоумышленники распространяют в тематических чатах и пабликах сообщения с предложением поучаствовать в киберспортивном турнире, проголосовать за одну из команд, купить билет на мероприятие или получить внутриигровой предмет.

Вход в аккаунт на платформе Steam выполняется через всплывающее окно, поэтому пользователь может не заподозрить о краже профиля. Уточняется, что окно всплывает на той же вкладке, а не на новой, как это обычно происходит в Steam, поэтому пользователи охотнее доверяют фишинговому ресурсу.

Окно ввода данных, похожее на часть интерфейса Steam, открывает нажатие почти любой кнопки на сайте, говорят в Group-IB. Чтобы повысить шанс на успех, мошенники вставляют в него поддельный «зеленый замочек» — иконку SSL-сертификата организации. Ссылка в адресной строке фальшивого всплывающего окна при этом не отличается от настоящей: ее можно выделить, скопировать и открыть в другой вкладке.

Кнопки в ложном окне работают корректно, его можно свободно перемещать по экрану. Владельцы фишинговых ресурсов также предусмотрели возможность выбора одного из 27 языков, в то время как сам Steam поддерживает 28.

Данные пользователя, который решит их ввести, платформа сразу передаст злоумышленнику. В то же время система автоматически введет эти данные на официальной платформе Steam. В случае если аккаунт пользователя защищает двухфакторная аутентификация, фишинговый ресурс запросит код в дополнительном окне.

Отмечается, что цена аккаунта начинающего игрока составляет десятки долларов, аккаунты ведущих пользователей оцениваются в $100 000 — $300 000.

Платформу Steam разработала компания Valve. На ней размещено порядка 30 тыс. игр, и зарегистрированы около 100 млн пользователей. Steam начала работать в 2003 году.