"Nettleser-i-nettleseren" Phishing-angrep

Svindlere bruker en ny phishing-teknikk kjent som Browser-in-the-Browser for å få konfidensiell kontolegitimasjon fra ofrene sine. Så langt ser det ut til at angriperne hovedsakelig er rettet mot Steam-brukere og profesjonelle spillere. Det er sannsynlig at eventuelle kompromitterte kontoer vil bli tilbudt for salg, ettersom noen fremtredende Steam-kontoer har blitt estimert til å være verdt mellom $100,000 og $300,000.

Steam er den største digitale distribusjonsplattformen for PC-spill, og utvikleren Valve Corporation eier også noen av de største esport-titlene i verden, som CS: GO og DOTA 2. Nettleser-in-the-Browser phishing-angrepene begynner med lokkemeldinger sendes direkte til brukere via Steam. Svindlerne inviterer ofrene sine til å bli med på et lag for et populært konkurransespill (LoL, CS, DOTA 2, PUBG) og delta i en antatt turnering. Linken som finnes i lokkemeldingen vil ta de intetanende ofrene til et falskt nettsted, designet for å se ut som om det tilhører en organisasjon som arrangerer e-sportskonkurranser. Når brukere prøver å bli med i et team, vil de bli bedt om å logge på via Steam-kontoen sin.

Det er her Browser-in-the-Browser-teknikken kommer inn i bildet. I stedet for det legitime påloggingsvinduet som vanligvis legges over det eksisterende nettstedet, vil ofre bli presentert med et falskt vindu opprettet på den gjeldende siden. Det er ekstremt vanskelig å oppdage at noe er galt, siden det falske vinduet er visuelt identisk med det ekte og URL-en samsvarer med den legitime adressen. Landingssidene kan til og med velge mellom 27 forskjellige språk for å matche standardspråket som brukes av ofrene deres.

Når kontolegitimasjonen er angitt, vil en ny melding som ber om en 2FA-kode (tofaktorautentisering) vises. Unnlatelse av å oppgi riktig kode vil resultere i en feilmelding. Hvis brukere passerer autentiseringen, vil de bli omdirigert til en ny adresse som bestemmes av operasjonens Command-and-Control-server (C2). Vanligvis tilhører denne adressen et legitimt nettsted som en måte å maskere handlingene til svindlerne. På dette tidspunktet er imidlertid offerets legitimasjon allerede blitt kompromittert og overført til trusselaktørene.

Detaljer om phishing-teknikken Browser-in-the-Browser og angrepsoperasjonen som helhet ble offentliggjort i en rapport fra sikkerhetsforskere. Ifølge funnene deres er ikke phishing-settet som brukes i Steam-kampanjen tilgjengelig for salg på hackingfora. Det holdes i stedet innenfor en smal krets av nettkriminelle som koordinerer sine aktiviteter på Discord- eller Telegram-kanaler.