"Selain selaimessa" tietojenkalasteluhyökkäys

Pettäjät käyttävät uutta tietojenkalastelutekniikkaa, joka tunnetaan nimellä Browser in-the-Browser, saadakseen luottamuksellisia tilitietoja uhreiltaan. Toistaiseksi hyökkääjät näyttävät kohdistuneen pääasiassa Steamin käyttäjiin ja ammattipelaajiin. On todennäköistä, että kaikki vaarantuneet tilit tarjotaan myyntiin, koska joidenkin merkittävien Steam-tilien on arvioitu olevan 100 000–300 000 dollaria.

Steam on PC-pelaamisen suurin digitaalinen jakelualusta, ja sen kehittäjä Valve Corporation omistaa myös joitain maailman suurimmista esports-peleistä, kuten CS: GO:n ja DOTA 2:n. Selain-selaimen tietojenkalasteluhyökkäykset alkavat syöttiviesteillä. lähetetään suoraan käyttäjille Steamin kautta. Huijarit kutsuvat uhrinsa liittymään tiimiin suosittuun kilpailupeliin (LoL, CS, DOTA 2, PUBG) ja osallistumaan oletettuun turnaukseen. Viestiviestissä oleva linkki vie pahaa aavistamattomat uhrit väärennetylle sivustolle, joka on suunniteltu näyttämään siltä, että se kuuluisi e-urheilukilpailuja isännöivälle organisaatiolle. Kun käyttäjät yrittävät liittyä tiimiin, heitä pyydetään kirjautumaan sisään Steam-tilinsä kautta.

Tässä selain-in-the-Browser-tekniikka tulee esiin. Laillisen kirjautumisikkunan sijaan, joka yleensä peitetään olemassa olevan verkkosivuston päällä, uhreille näytetään nykyiselle sivulle luotu väärennetty ikkuna. Vian havaitseminen on äärimmäisen vaikeaa, koska väärennetty ikkuna on visuaalisesti identtinen oikean kanssa ja sen URL-osoite vastaa laillista osoitetta. Aloitussivut voivat valita jopa 27 eri kielen välillä vastaamaan uhrien käyttämää oletuskieliä.

Kun tilin tunnistetiedot on syötetty, näkyviin tulee uusi kehote, jossa pyydetään 2FA-koodia (Two-Factor Authentication). Jos oikeaa koodia ei anneta, tulee virheilmoitus. Jos käyttäjät läpäisevät todennuksen, heidät ohjataan uuteen osoitteeseen, jonka toiminnon Command-and-Control (C2) -palvelin määrittää. Yleensä tämä osoite kuuluu lailliselle verkkosivustolle keinona peittää huijareiden toimet. Tässä vaiheessa uhrin tunnistetiedot on kuitenkin jo vaarantunut ja välitetty uhkatoimijoille.

Yksityiskohdat selaimen selaimen tietojenkalastelutekniikasta ja hyökkäysoperaatiosta kokonaisuudessaan julkistettiin tietoturvatutkijoiden raportissa. Heidän havaintojensa mukaan Steam-kampanjassa käytettyä tietojenkalastelupakettia ei ole myynnissä hakkerointifoorumeilla. Sen sijaan se pidetään kapeassa kyberrikollisten piirissä, jotka koordinoivat toimintaansa Discord- tai Telegram-kanavilla.