16.08.2022 09:43
Происшествия

Мошенники с помощью новой технологии атакуют геймеров на платформе Steam

Текст:  Олег Капранов
Российская газета - Федеральный выпуск: №181 (8829)
Компания Group-IB выявила более 150 мошеннических ресурсов, замаскированных под популярную платформу компьютерных игр Steam. Для "угона" учетных записей геймеров злоумышленники используют новую фишинговую технику, из-за чего фейки практически невозможно отличить от оригинальных страниц Steam.
/ iStock
Читать на сайте RG.RU

Выявленная механика носит название Browser-in-the-browser. Она была впервые описана весной этого года и позволяет создавать прямо на фишинговом ресурсе всплывающее поддельное окно браузера, неотличимое на первый взгляд от настоящего.

Чтобы заманить жертв на страницу-приманку с кнопкой входа в учетную запись, злоумышленники отправляют пользователям в тематических чатах и пабликах сообщение с предложением присоединиться к киберспортивному турниру по популярным играм, таким как League of Legends, Counter-Strike или Dota, проголосовать за одну из команд, приобрести билеты на мероприятие, получить внутриигровой предмет или скин. Еще один способ заманить пользователей на фишинговый сайт - реклама в популярном видео с игрой или в описании к нему.

Применяя технику Browser-in-the-browser, злоумышленники пользуются тем, что на платформе Steam аутентификация происходит во всплывающем окне, а не в новой вкладке. В отличие от большинства мошеннических ресурсов, которые открывают фишинговую страницу в новой вкладке или делают переход, новая техника открывает поддельное окно браузера на прежней вкладке.

Практически каждая кнопка на мошенническом ресурсе открывает форму ввода данных учетной записи, повторяющую оригинальное окно Steam. Во всплывающем окне есть фальшивый "зеленый замочек" - иконка SSL-сертификата организации. Ссылка в адресной строке поддельного окна не отличается от оригинальной - ее можно выделить, скопировать, открыть в другой вкладке. Кнопки работают корректно, окно можно двигать по экрану. Кроме того, на обнаруженных в июле фишинговых ресурсах есть возможность выбора из 27 языков.

Кибергигиена защитит от цифровых атак и мошенников

После того, как пользователь вводит данные в фишинговой форме, они сразу же отправляются злоумышленнику и автоматически вводятся на официальном ресурсе. Если ввести данные некорректно (один из способов проверки подлинности ресурса из игровых пабликов), то новая фишинговая форма сообщит об ошибке, как "настоящий" Steam. Если у жертвы включена двухфакторная аутентификация, то мошеннический ресурс покажет запрос кода в дополнительном окне.

"Похоже, прежние советы, которые несколько лет назад помогали геймерам определить фишинговый сайт, сегодня уже бесполезны против нового метода мошенников. Фишинговые ресурсы, использующие технологию Browser-in-the-browser, представляют опасность даже для опытных пользователей Steam, соблюдающих основные правила кибербезопасности", - отмечает Александр Калинин, руководитель Центра реагирования на инциденты информационной безопасности Group-IB.

По словам эксперта, в отличие от распространенных мошеннических схем, в которых наборы готовых инструментов для фишинговых страниц разрабатываются для продажи, решения Browser-in-the-browser для Steam держатся злоумышленниками в секрете.

Как отличить фишинговую форму Browser-in-the-browser:

Сверить дизайн заголовка и адресной строки открывшегося окна. Подделка может отличаться от стандартной для вашего браузера. Стоит обратить внимание на шрифты и вид кнопок управления.

Банк России предложил ввести "период охлаждения" для возврата денег жертвам мошенников

Проверить, открылось ли новое окно в панели задач. Если нет - окно поддельное.

Попытаться увеличить/уменьшить окно - поддельное не предоставляет такой возможности. Также не получится его развернуть на весь экран.

Окно ограничено экраном браузера - его не получится передвинуть на элементы управления изначальной вкладки.

Кнопка сворачивания поддельного окна просто закрывает его.

В фишинговой форме "замочек", отображающий сертификат, - обычное изображение. При нажатии на него не произойдет ничего, тогда как настоящий браузер предложит посмотреть информацию об SSL-сертификате.

Поддельная адресная строка не функциональна. В некоторых случаях она не позволяет ввести другой URL, но даже если позволит - перейти на него в этом же окне будет невозможно.

Окно перестанет появляться при отключении исполнения JS-скриптов в настройках браузера.

В настоящее время на Steam зарегистрированы около 120 миллионов геймеров, а число продаваемых на этой платформе игр превышает 50 000, в том числе такие бестселлеры, как Half-Life, Counter-Strike, Dota 2. Цена аккаунта начинающего игрока составляет десятки долларов, аккаунты ведущих пользователей оцениваются в 100-300 тысяч долларов. С начала запуска платформы в 2003 году киберпреступники с переменным успехом пытались завладеть "прокаченными" аккаунтами геймеров с помощью взлома привязанной почты, фишинговых страниц, однако не добились особого успеха.

Юрист Соловьев рассказал о новом виде телефонного мошенничества со сменой номера
Криминал Интернет