Atak phishingowy „Przeglądarka w przeglądarce”

Oszuści wykorzystują nową technikę phishingu znaną jako przeglądarka w przeglądarce, aby uzyskać poufne dane uwierzytelniające konta od swoich ofiar. Jak dotąd wydaje się, że napastnicy atakują głównie użytkowników Steam i profesjonalnych graczy. Jest prawdopodobne, że wszelkie zhakowane konta zostaną wystawione na sprzedaż, ponieważ niektóre znane konta Steam zostały oszacowane na kwotę od 100 000 do 300 000 USD.

Steam to największa platforma cyfrowej dystrybucji gier na komputery PC, a jej twórca Valve Corporation jest również właścicielem jednych z największych tytułów e-sportowych na świecie, takich jak CS: GO i DOTA 2. Ataki phishingowe Browser-in-the-Browser zaczynają się od wiadomości z przynętą wysyłane bezpośrednio do użytkowników za pośrednictwem Steam. Oszuści zapraszają swoje ofiary do dołączenia do drużyny w popularnej grze konkurencyjnej (LoL, CS, DOTA 2, PUBG) i wzięcia udziału w rzekomym turnieju. Link znaleziony w wiadomości z przynętą przeniesie niczego niepodejrzewające ofiary na fałszywą stronę, która wygląda tak, jakby należała do organizacji organizującej zawody e-sportowe. Gdy użytkownicy spróbują dołączyć do zespołu, zostaną poproszeni o zalogowanie się za pośrednictwem swojego konta Steam.

Tutaj w grę wchodzi technika przeglądarki w przeglądarce. Zamiast legalnego okna logowania, które zwykle jest nałożone na istniejącą witrynę, ofiarom zostanie wyświetlone fałszywe okno utworzone na bieżącej stronie. Wykrycie, że coś jest nie tak, jest niezwykle trudne, ponieważ fałszywe okno jest wizualnie identyczne z prawdziwym, a jego adres URL odpowiada prawidłowemu adresowi. Strony docelowe mogą nawet wybierać spośród 27 różnych języków, aby dopasować domyślny język używany przez ich ofiary.

Po wprowadzeniu poświadczeń konta zostanie wyświetlony nowy monit z prośbą o kod 2FA (uwierzytelnianie dwuskładnikowe). Niepodanie prawidłowego kodu spowoduje wyświetlenie komunikatu o błędzie. Jeśli użytkownicy przejdą uwierzytelnianie, zostaną przekierowani na nowy adres określony przez serwer Command-and-Control (C2) operacji. Zazwyczaj adres ten należy do legalnej strony internetowej jako sposób na maskowanie działań oszustów. Jednak w tym momencie dane uwierzytelniające ofiary zostały już naruszone i przekazane cyberprzestępcom.

Szczegóły dotyczące techniki phishingowej Browser-in-the-Browser i całej operacji ataku zostały ujawnione opinii publicznej w raporcie opracowanym przez badaczy bezpieczeństwa. Według ich ustaleń zestaw phishingowy wykorzystany w kampanii Steam nie jest dostępny do sprzedaży na forach hakerskich. Zamiast tego jest trzymany w wąskim kręgu cyberprzestępców, którzy koordynują swoje działania na kanałach Discord lub Telegram.