حمله فیشینگ 'Browser-in-the-Browser'

کلاهبرداران از یک تکنیک جدید فیشینگ به نام Browser-in-the-Browser برای به دست آوردن اعتبار حساب محرمانه از قربانیان خود استفاده می کنند. تا کنون، به نظر می رسد که مهاجمان عمدتاً کاربران Steam و گیمرهای حرفه ای را هدف قرار داده اند. این احتمال وجود دارد که هر گونه حساب در معرض خطر برای فروش ارائه شود، زیرا ارزش برخی از حساب های Steam برجسته بین 100،000 تا 300،000 دلار تخمین زده شده است.

Steam بزرگترین پلتفرم توزیع دیجیتال برای بازی های رایانه شخصی است و شرکت توسعه دهنده آن Valve Corporation همچنین صاحب برخی از بزرگترین عناوین ورزش های الکترونیکی در جهان مانند CS: GO و DOTA 2 است. حملات فیشینگ Browser-in-the-Browser با پیام های طعمه آغاز می شود. مستقیماً از طریق Steam برای کاربران ارسال می شود. کلاهبرداران از قربانیان خود دعوت می کنند تا برای یک بازی رقابتی محبوب (LoL، CS، DOTA 2، PUBG) به یک تیم ملحق شوند و در یک تورنمنت فرضی شرکت کنند. پیوند یافت شده در پیام فریب، قربانیان را به یک سایت جعلی می برد، که به گونه ای طراحی شده است که گویی متعلق به سازمانی است که میزبان مسابقات الکترونیکی است. هنگامی که کاربران سعی می کنند به یک تیم بپیوندند، از آنها خواسته می شود که از طریق حساب Steam خود وارد شوند.

اینجا جایی است که تکنیک Browser-in-the-Browser وارد عمل می شود. به جای پنجره ورود قانونی که معمولاً روی وب سایت موجود پوشانده می شود، یک پنجره جعلی ایجاد شده در صفحه فعلی به قربانیان ارائه می شود. تشخیص اینکه چیزی اشتباه است بسیار دشوار است، زیرا پنجره جعلی از نظر بصری با پنجره واقعی یکسان است و URL آن با آدرس قانونی مطابقت دارد. صفحات فرود حتی می توانند بین 27 زبان مختلف را برای مطابقت با زبان پیش فرض مورد استفاده قربانیان خود انتخاب کنند.

پس از وارد کردن اعتبار حساب، یک درخواست جدید برای کد 2FA (تأیید هویت دو مرحله ای) نمایش داده می شود. عدم ارائه کد صحیح منجر به پیام خطا می شود. اگر کاربران احراز هویت را بگذرانند، به آدرس جدیدی که توسط سرور Command-and-Control (C2) عملیات تعیین می‌شود هدایت می‌شوند. به طور معمول، این آدرس به یک وب سایت قانونی تعلق دارد تا روشی برای پنهان کردن اعمال کلاهبرداران. با این حال، در این مرحله، اعتبار قربانی قبلاً به خطر افتاده و به عوامل تهدید منتقل شده است.

جزئیات مربوط به تکنیک فیشینگ Browser-in-the-Browser و عملیات حمله به طور کلی در گزارشی توسط محققان امنیتی برای عموم فاش شد. طبق یافته های آنها، کیت فیشینگ مورد استفاده در کمپین Steam برای فروش در انجمن های هک موجود نیست. در عوض در دایره باریکی از مجرمان سایبری نگهداری می شود که فعالیت های خود را در کانال های Discord یا تلگرام هماهنگ می کنند.