'Tarayıcıda Tarayıcı' Kimlik Avı Saldırısı

Dolandırıcılar, kurbanlarından gizli hesap kimlik bilgilerini almak için Tarayıcıda Tarayıcı olarak bilinen yeni bir kimlik avı tekniği kullanıyor. Şimdiye kadar, saldırganların ağırlıklı olarak Steam kullanıcılarını ve profesyonel oyuncuları hedef aldığı görülüyor. Bazı önde gelen Steam hesaplarının değerinin 100.000 ila 300.000 ABD Doları arasında olduğu tahmin edildiğinden, güvenliği ihlal edilmiş hesapların satışa sunulması muhtemeldir.

Steam, PC oyunları için en büyük dijital dağıtım platformudur ve geliştiricisi Valve Corporation, CS: GO ve DOTA 2 gibi dünyanın en büyük espor oyunlarından bazılarına da sahiptir. Tarayıcıda Tarayıcı kimlik avı saldırıları, yem mesajlarıyla başlar. doğrudan Steam üzerinden kullanıcılara gönderilir. Dolandırıcılar, kurbanlarını popüler bir rekabet oyunu (LoL, CS, DOTA 2, PUBG) için bir ekibe katılmaya ve sözde bir turnuvaya katılmaya davet ediyor. Cazibe mesajında bulunan bağlantı, şüphelenmeyen kurbanları, e-spor yarışmalarına ev sahipliği yapan bir kuruluşa ait gibi görünecek şekilde tasarlanmış sahte bir siteye götürecektir. Kullanıcılar bir ekibe katılmaya çalıştıklarında, Steam hesapları üzerinden giriş yapmaları istenecektir.

Tarayıcıda Tarayıcı tekniğinin devreye girdiği yer burasıdır. Tipik olarak mevcut web sitesinin üzerine yerleştirilen meşru oturum açma penceresi yerine, mağdurlara mevcut sayfada oluşturulan sahte bir pencere sunulacaktır. Sahte pencere görsel olarak gerçek pencereyle aynı olduğundan ve URL'si yasal adresle eşleştiğinden bir şeylerin yanlış olduğunu tespit etmek son derece zordur. Açılış sayfaları, kurbanları tarafından kullanılan varsayılan dille eşleştirmek için 27 farklı dil arasından seçim yapabilir.

Hesap kimlik bilgileri girildikten sonra, 2FA (İki Faktörlü Kimlik Doğrulama) kodu isteyen yeni bir istem görüntülenecektir. Doğru kodun sağlanamaması bir hata mesajıyla sonuçlanacaktır. Kullanıcılar kimlik doğrulamasını geçerse, işlemin Komuta ve Kontrol (C2) sunucusu tarafından belirlenen yeni bir adrese yönlendirilirler. Tipik olarak, bu adres, dolandırıcıların eylemlerini maskelemenin bir yolu olarak meşru bir web sitesine aittir. Ancak bu noktada, mağdurun kimlik bilgileri zaten tehlikeye girmiş ve tehdit aktörlerine iletilmiştir.

Tarayıcıda Tarayıcı kimlik avı tekniği ve bir bütün olarak saldırı operasyonuyla ilgili ayrıntılar, güvenlik araştırmacıları tarafından bir raporda kamuoyuna açıklandı. Bulgularına göre, Steam kampanyasında kullanılan kimlik avı kiti, bilgisayar korsanlığı forumlarında satışa sunulmamaktadır. Bunun yerine, faaliyetlerini Discord veya Telegram kanallarında koordine eden dar bir siber suçlular çemberinde tutuluyor.