Serangan Phishing 'Pelayar-dalam-Pelayar'

Penipu menggunakan teknik pancingan data baharu yang dikenali sebagai Browser-in-the-Browser untuk mendapatkan bukti kelayakan akaun sulit daripada mangsa mereka. Setakat ini, penyerang nampaknya menyasarkan pengguna Steam dan pemain profesional. Kemungkinan mana-mana akaun yang terjejas akan ditawarkan untuk jualan, kerana beberapa akaun Steam yang terkenal telah dianggarkan bernilai antara $100, 000 dan $300, 000.

Steam ialah platform pengedaran digital terbesar untuk permainan PC dan pembangunnya Valve Corporation juga memiliki beberapa tajuk esports terbesar di dunia, seperti CS: GO dan DOTA 2. Serangan pancingan data Browser-in-the-Browser bermula dengan mesej umpan dihantar terus kepada pengguna melalui Steam. Penipu menjemput mangsa mereka untuk menyertai pasukan untuk permainan kompetitif yang popular (LoL, CS, DOTA 2, PUBG) dan menyertai kejohanan yang sepatutnya. Pautan yang ditemui dalam mesej gewang akan membawa mangsa yang tidak curiga ke tapak palsu, yang direka untuk kelihatan seolah-olah ia milik organisasi yang menganjurkan pertandingan esport. Apabila pengguna cuba menyertai pasukan, mereka akan digesa untuk log masuk melalui akaun Steam mereka.

Di sinilah teknik Penyemak Imbas dalam Penyemak Imbas digunakan. Daripada tetingkap log masuk yang sah yang biasanya ditindih pada tapak web sedia ada, mangsa akan dipaparkan dengan tetingkap palsu yang dibuat dalam halaman semasa. Mengesan bahawa ada sesuatu yang tidak kena adalah amat sukar, kerana tetingkap palsu secara visual serupa dengan yang sebenar dan URLnya sepadan dengan alamat yang sah. Halaman pendaratan juga boleh memilih antara 27 bahasa yang berbeza untuk memadankan bahasa lalai yang digunakan oleh mangsa mereka.

Setelah kelayakan akaun dimasukkan, gesaan baharu yang meminta kod 2FA (Pengesahan Dua Faktor) akan dipaparkan. Kegagalan memberikan kod yang betul akan mengakibatkan mesej ralat. Jika pengguna melepasi pengesahan, mereka akan diubah hala ke alamat baharu yang ditentukan oleh pelayan Perintah-dan-Kawalan (C2) operasi. Lazimnya, alamat ini adalah milik tapak web yang sah sebagai cara untuk menutup tindakan penipu. Bagaimanapun, pada ketika ini, kelayakan mangsa telah pun dikompromi dan dihantar kepada pelakon ancaman.

Butiran mengenai teknik pancingan data Browser-in-the-Browser dan operasi serangan secara keseluruhan telah didedahkan kepada umum dalam laporan oleh penyelidik keselamatan. Menurut penemuan mereka, kit pancingan data yang digunakan dalam kempen Steam tidak tersedia untuk dijual di forum penggodaman. Ia sebaliknya disimpan dalam lingkungan sempit penjenayah siber yang menyelaraskan aktiviti mereka di saluran Discord atau Telegram.