“浏览器中的浏览器”网络钓鱼攻击

欺诈者正在使用一种称为浏览器中浏览器的新网络钓鱼技术从受害者那里获取机密帐户凭据。到目前为止，攻击者似乎主要针对 Steam 用户和专业游戏玩家。很可能会出售任何受损帐户，因为一些著名的 Steam 帐户估计价值在 100,000 美元到 300,000 美元之间。

Steam 是最大的 PC 游戏数字分发平台，其开发商 Valve Corporation 还拥有一些世界上最大的电子竞技游戏，例如 CS：GO 和 DOTA 2。Browser-in-the-Browser 网络钓鱼攻击始于诱饵消息通过 Steam 直接发送给用户。欺诈者邀请他们的受害者加入一个流行的竞技游戏（LoL、CS、DOTA 2、PUBG）的团队并参加所谓的锦标赛。在诱饵消息中找到的链接会将毫无戒心的受害者带到一个虚假网站，该网站的设计看起来好像它属于一个举办电子竞技比赛的组织。当用户尝试加入团队时，系统会提示他们通过 Steam 帐户登录。

这是浏览器中的浏览器技术发挥作用的地方。代替通常覆盖在现有网站上的合法登录窗口，受害者将看到在当前页面中创建的假窗口。发现有问题是非常困难的，因为假窗口在视觉上与真实窗口相同，并且其 URL 与合法地址匹配。登陆页面甚至可以在 27 种不同的语言之间进行选择，以匹配受害者使用的默认语言。

输入帐户凭据后，将显示要求输入 2FA（双重身份验证）代码的新提示。未能提供正确的代码将导致错误消息。如果用户通过身份验证，他们将被重定向到由操作的命令和控制 (C2) 服务器确定的新地址。通常，此地址属于合法网站，以掩盖骗子的行为。但是，此时，受害者的凭据已被泄露并传输给威胁参与者。

安全研究人员在一份报告中向公众披露了有关浏览器中的浏览器网络钓鱼技术和整个攻击操作的详细信息。根据他们的调查结果，Steam 活动中使用的网络钓鱼工具包无法在黑客论坛上出售。相反，它被限制在一个狭窄的网络犯罪分子圈子内，他们在 Discord 或 Telegram 频道上协调他们的活动。