“瀏覽器中的瀏覽器”網絡釣魚攻擊

欺詐者正在使用一種稱為瀏覽器中瀏覽器的新網絡釣魚技術從受害者那裡獲取機密帳戶憑據。到目前為止，攻擊者似乎主要針對 Steam 用戶和專業遊戲玩家。很可能會出售任何受損帳戶，因為一些著名的 Steam 帳戶估計價值在 100,000 美元到 300,000 美元之間。

Steam 是最大的 PC 遊戲數字分發平台，其開發商 Valve Corporation 還擁有一些世界上最大的電子競技遊戲，例如 CS：GO 和 DOTA 2。Browser-in-the-Browser 網絡釣魚攻擊始於誘餌消息通過 Steam 直接發送給用戶。欺詐者邀請他們的受害者加入一個流行的競技遊戲（LoL、CS、DOTA 2、PUBG）的團隊並參加所謂的錦標賽。在誘餌消息中找到的鏈接會將毫無戒心的受害者帶到一個虛假網站，該網站的設計看起來好像它屬於一個舉辦電子競技比賽的組織。當用戶嘗試加入團隊時，系統會提示他們通過 Steam 帳戶登錄。

這是瀏覽器中的瀏覽器技術發揮作用的地方。代替通常覆蓋在現有網站上的合法登錄窗口，受害者將看到在當前頁面中創建的假窗口。發現有問題是非常困難的，因為假窗口在視覺上與真實窗口相同，並且其 URL 與合法地址匹配。登陸頁面甚至可以在 27 種不同的語言之間進行選擇，以匹配受害者使用的默認語言。

輸入帳戶憑據後，將顯示要求輸入 2FA（雙重身份驗證）代碼的新提示。未能提供正確的代碼將導致錯誤消息。如果用戶通過身份驗證，他們將被重定向到由操作的命令和控制 (C2) 服務器確定的新地址。通常，此地址屬於合法網站，以掩蓋騙子的行為。但是，此時，受害者的憑據已被洩露並傳輸給威脅參與者。

安全研究人員在一份報告中向公眾披露了有關瀏覽器中的瀏覽器網絡釣魚技術和整個攻擊操作的詳細信息。根據他們的調查結果，Steam 活動中使用的網絡釣魚工具包無法在黑客論壇上出售。相反，它被限制在一個狹窄的網絡犯罪分子圈子內，他們在 Discord 或 Telegram 頻道上協調他們的活動。