Фішинг-атака «Браузер у браузері».

Шахраї використовують нову техніку фішингу, відому як «Браузер у браузері», щоб отримати конфіденційні облікові дані своїх жертв. Поки що зловмисники, здається, в основному націлені на користувачів Steam і професійних геймерів. Ймовірно, будь-які скомпрометовані облікові записи будуть виставлені на продаж, оскільки вартість деяких відомих облікових записів Steam оцінюється від 100 000 до 300 000 доларів США.

Steam є найбільшою цифровою платформою для розповсюдження комп’ютерних ігор, а її розробник Valve Corporation також володіє деякими з найбільших кіберспортивних ігор у світі, як-от CS: GO та DOTA 2. Фішингові атаки Browser-in-the-Browser починаються з повідомлень-приманок. надсилається безпосередньо користувачам через Steam. Шахраї запрошують своїх жертв приєднатися до команди для популярної змагальної гри (LoL, CS, DOTA 2, PUBG) і взяти участь у нібито турнірі. Посилання, знайдене в повідомленні-приманці, переведе нічого не підозрюючих жертв на підроблений сайт, створений так, ніби він належить організації, яка проводить змагання з кіберспорту. Коли користувачі намагаються приєднатися до команди, їм буде запропоновано увійти через обліковий запис Steam.

Тут вступає в дію техніка «Браузер у браузері». Замість законного вікна входу, яке зазвичай накладається на існуючий веб-сайт, жертвам буде представлено підроблене вікно, створене на поточній сторінці. Помітити, що щось не так, надзвичайно складно, оскільки підроблене вікно візуально ідентичне справжньому, а його URL-адреса збігається з легітимною адресою. Цільові сторінки можуть навіть вибирати між 27 різними мовами, щоб відповідати стандартній, якою користуються їхні жертви.

Після введення облікових даних облікового запису з’явиться новий запит із запитом на код 2FA (двофакторної автентифікації). Якщо не вказати правильний код, з’явиться повідомлення про помилку. Якщо користувачі пройдуть автентифікацію, вони будуть перенаправлені на нову адресу, визначену сервером командування та керування (C2) операції. Як правило, ця адреса належить законному веб-сайту, щоб замаскувати дії шахраїв. Однак на даний момент облікові дані жертви вже скомпрометовано та передано суб’єктам загрози.

Подробиці про техніку фішингу «Браузер у браузері» та операцію атаки в цілому були розкриті громадськості у звіті дослідників безпеки. Згідно з їхніми висновками, набір для фішингу, який використовувався в кампанії Steam, недоступний для продажу на хакерських форумах. Натомість його тримають у вузькому колі кіберзлочинців, які координують свою діяльність на каналах Discord або Telegram.