התקפת דיוג 'דפדפן-ב-הדפדפן'

רמאים משתמשים בטכניקת פישינג חדשה המכונה דפדפן-ב-דפדפן כדי להשיג אישורי חשבון סודיים מהקורבנות שלהם. עד כה, נראה שהתוקפים מכוונים בעיקר למשתמשי Steam וגיימרים מקצועיים. סביר להניח שכל חשבונות שנפרצו יוצעו למכירה, מכיוון שכמה חשבונות Steam בולטים הוערכו בשווי בין 100,000 ל-300,000 דולר.

Steam היא פלטפורמת ההפצה הדיגיטלית הגדולה ביותר למשחקי מחשב, והמפתח שלה Valve Corporation מחזיק גם בכמה מכותר הספורט האלקטרוני הגדולים בעולם, כמו CS: GO ו-DOTA 2. התקפות הדיוג ב-Browser מתחילות בהודעות פיתיון. נשלח ישירות למשתמשים באמצעות Steam. הרמאים מזמינים את קורבנותיהם להצטרף לקבוצה למשחק תחרותי פופולרי (LoL, CS, DOTA 2, PUBG) ולהשתתף בטורניר כביכול. הקישור שנמצא בהודעת הפיתוי ייקח את הקורבנות התמימים לאתר מזויף, שנועד להיראות כאילו הוא שייך לארגון המארח תחרויות esports. כאשר משתמשים מנסים להצטרף לצוות, הם יתבקשו להיכנס דרך חשבון Steam שלהם.

כאן נכנסת לתמונה טכניקת הדפדפן-ב-דפדפן. במקום חלון הכניסה הלגיטימי שבדרך כלל מכוסה מעל האתר הקיים, יוצג לקורבנות חלון מזויף שנוצר בתוך הדף הנוכחי. קשה מאוד לזהות שמשהו לא בסדר, מכיוון שהחלון המזויף זהה מבחינה ויזואלית לזה האמיתי וכתובת האתר שלו תואמת את הכתובת הלגיטימית. דפי הנחיתה יכולים אפילו לבחור בין 27 שפות שונות כדי להתאים לברירת המחדל שבה משתמשים הקורבנות שלהם.

לאחר הזנת אישורי החשבון, תוצג הנחיה חדשה המבקשת קוד 2FA (אימות דו-גורמי). אי מתן הקוד הנכון תגרום להודעת שגיאה. אם משתמשים יעברו את האימות, הם יופנו לכתובת חדשה שנקבעת על ידי שרת הפקודה והבקרה (C2) של הפעולה. בדרך כלל, כתובת זו שייכת לאתר לגיטימי כדרך להסוות את מעשיהם של רמאים. עם זאת, בשלב זה, אישורי הקורבן כבר נפגעו והועברו לגורמי האיום.

פרטים על טכניקת ההתחזות דפדפן בדפדפן ועל פעולת ההתקפה בכללותה נחשפו לציבור בדו"ח של חוקרי אבטחה. על פי הממצאים שלהם, ערכת הדיוג המשמשת בקמפיין Steam אינה זמינה למכירה בפורומי פריצה. במקום זאת הוא נשמר בתוך מעגל מצומצם של פושעי סייבר שמתאמים את פעילותם בערוצי דיסקורד או טלגרם.