„Böngésző a böngészőben” adathalász támadás

A csalók a Browser in-the-Browser néven ismert új adathalász technikát alkalmaznak, hogy bizalmas fiók hitelesítő adatokat szerezzenek meg áldozataiktól. Egyelőre úgy tűnik, hogy a támadók főként a Steam felhasználókat és a professzionális játékosokat veszik célba. Valószínű, hogy minden feltört fiókot eladásra kínálnak, mivel néhány kiemelkedő Steam fiók 100 000 és 300 000 dollár közötti értékűre becsülhető.

A Steam a legnagyobb digitális terjesztési platform a PC-s játékok számára, és fejlesztője, a Valve Corporation a világ legnagyobb e-sport játékainak egy részét is birtokolja, mint például a CS: GO és a DOTA 2. A Browser-in-the-Browser adathalász támadások csali üzenetekkel kezdődnek. közvetlenül a Steamen keresztül küldik el a felhasználóknak. A csalók felkérik áldozataikat, hogy csatlakozzanak egy csapathoz egy népszerű versenyjátékhoz (LoL, CS, DOTA 2, PUBG), és vegyenek részt egy feltételezett versenyen. A csalogató üzenetben található link a gyanútlan áldozatokat egy hamis oldalra viszi, amelyet úgy terveztek, hogy úgy tűnjön, mintha egy esport versenyeket rendező szervezethez tartozna. Amikor a felhasználók megpróbálnak csatlakozni egy csapathoz, a rendszer felkéri őket, hogy jelentkezzenek be Steam-fiókjukon keresztül.

Itt jön képbe a Böngésző a böngészőben technika. A törvényes bejelentkezési ablak helyett, amely jellemzően a meglévő webhely fölé kerül, az áldozatok egy hamis ablakot fognak megjeleníteni az aktuális oldalon belül. Rendkívül nehéz észrevenni, hogy valami nincs rendben, mivel a hamis ablak vizuálisan megegyezik az igazival, és URL-je megegyezik a legitim címmel. A nyitóoldalak akár 27 különböző nyelv közül is választhatnak, hogy megfeleljenek az áldozataik által használt alapértelmezett nyelvnek.

A fiók hitelesítő adatainak megadása után egy új, 2FA (kéttényezős hitelesítés) kódot kérő üzenet jelenik meg. A megfelelő kód megadásának elmulasztása hibaüzenetet eredményez. Ha a felhasználók átmentek a hitelesítésen, a rendszer átirányítja őket egy új címre, amelyet a művelet Command-and-Control (C2) kiszolgálója határoz meg. Ez a cím általában egy legitim webhelyhez tartozik, hogy elfedje a szélhámosok cselekedeteit. Ezen a ponton azonban az áldozat jogosítványait már veszélyeztették, és továbbították a fenyegetés szereplőinek.

A Browser-in-the-Browser adathalászati technikával és a támadási művelet egészével kapcsolatos részleteket biztonsági kutatók közölték a nyilvánossággal. Megállapításaik szerint a Steam kampányban használt adathalász készlet nem kapható hackerfórumokon. Ehelyett a kiberbűnözők szűk körén belül tartják, akik a Discord vagy a Telegram csatornákon koordinálják tevékenységüket.