Nagyon érdemes odafigyelni mostanság, hogy hol és hogyan próbálunk bejelentkezni a Steam-fiókunkba.

Eddig sem volt ritka, hogy a hackerek kifejezetten játékosokat vegyenek célba, az utóbbi időben azonban egyre több profil-eltérítéses esetről hallani. Sőt, a napokban egy teljesen új módszerre bukkantak a biztonsági kutatók, amivel konkrétan Steam-fiókokat próbálnak meg eltéríteni.

A Group-IB legújabb jelentésére a Bleeping Computer kiberbiztonsági hírportál figyelt fel, ami a Browser-in-the-Browser technika elterjedésére figyelmeztet. Az adathalász támadás lényege tulajdonképpen az, hogy egy megnyitott aktív ablakon belül hamis böngészőablakokat indítanak, melyek ugyan valódi bejelentkezési felületnek tűnnek, valójában viszont semmi köze nincs a hivatalos platformokhoz-oldalakhoz.

A portál még idén márciusban figyelt fel először az egyre elszaporodó támadásokról, melyekkel jellemzően Microsoft, Google, Steam, illetve más szolgáltatások profiljait próbálják ellopni. A Group-IB azonban azt észlelte, hogy az elmúlt hetekben egyre szélesebb körben, több hackercsoport összehangolva használja a módszert, méghozzá úgy, hogy közvetlenül az értékes profillal rendelkező játékosokat próbálják meg átverni.

A hackerek Telegram-csatornákon és Discord-szervereken hangolják össze a támadásokat, majd a célpontok kiválasztása után rájuk írnak a Steamen. Az üzenetekben jellemzően egy népszerű játékkal (CS:GO, LoL, PUBG, DOTA 2) megrendezett versenyre invitálnak, amihez egy linket is csatolnak.

Threat actor sending the phishing URL via DM

A linkekre kattintva a játékosok egy valódi esport szervezetre nagyon hasonlító oldalra kerülnek. Itt azt kérik tőlük, hogy ha részt akarnak venni a busás pénzjutalommal csábító megmérettetések, akkor a Steam-profiljukba kell bejelentkezniük, majd azon keresztül nevezhetnek. Igen ám,

csakhogy a kamu esport szervezet oldaláról lenyitott Steam-bejelentkezési ablak nem valódi, csak a meglévő oldal fölött lenyitott hamis ablak. 

Phishing window created inside the phishing site

A csalást elfedő, a kamu oldalon lenyitott hamis Steam-felület 27 nyelvet is támogat, amit a böngészőbeállítások alapján automatikusan a potenciális áldozat nyelvére állít. Miután a kiszemelt játékos itt megadja a hitelesítő adatait, egy teljesen új oldal jelenik meg, ami a kétfaktoros hitelesítéshez szükséges kiküldött kódot kéri. Miután ez is be lett pötyögve, a kamu oldal egy teljesen legitim helyre irányítja át, hogy még kisebb legyen a csalás gyanúja.

Sajnos azonban ekkor már késő, a hackerek ugyanis minden szükséges belépési adatot ismernek, azaz hamarosan teljesen eltérítik a Steam-profilt.

Hogyan ismerhető fel a Browser-in-the-Browser támadás?

A Bleeping Computer szerint az ilyesfajta támadások legnagyobb részében az adathalász ablakban lévő URL legitimnek tűnhet, hiszen a hackerek bármit megjeleníthetnek rajta, mivel az valójában csak egy renderkép, nem egy valódi oldal.

A portál szerint ugyanez vonatkozik az SSL-tanúsítványokra is, ami HTTPS-kapcsolatot jelez, így szinte teljesen valódinak tűnhet az egész. Sőt, az adathalász készlet lehetővé teszi a felhasználók számára, hogy a hamis ablakot ide-oda húzzák, minimalizálják, maximalizálják és bezárják, így nagyon nehéz kiszúrni, hogy hamis böngésző a böngészőben ablakról van szó.

A Browser-in-the-Browser eszközkészlet megalkotója, Mr.D0x a portál megkeresésére elmondta, hogy a legjobb módszer a csalás leleplezésére, ha megpróbáljuk az eredeti böngészőablakon túlra mozgatni. Így kiderül, hogy a felugró ablak valódi, avagy sem.

„Mindig próbáljuk meg a felugró ablakot a böngésző határához húzni. Ha a böngésző határai alá megy, akkor BiTB” – magyarázza Mr.D0x.

A Group-IB is próbál segíteni, aminek szakemberei azt javasolják, hogy ilyenkor mindig ellenőrizzük, hogy az új ablak megnyílik-e a feladatsorban, feltételezve, hogy a Windows 10 feladatsorában a programok csoportosítását feloldja. Ha nincs új ablak a feladatsávban, akkor ez nem valódi ablak.

A Windows 11 viszont még nem támogatja a csoportosítás feloldását, ezért ezen a rendszeren érdemes lehet átméretezni a hamis-gyanús ablakot. Ha minimalizáláskor az oldal bezáródik, akkor valószínűleg egy kamuról volt szó, a BiTB böngészőablakok ugyanis minimalizáláskor jellemzően bezáródnak.

Természetesen az is nagyon fontos, hogy a hivatalos platformokot kívül sehol ne adjunk meg hitelesítő adatokat, azokat csak és kizárólag a hivatalos platformokon tegyük meg. Ha van felugró ablak, ha nincs, az a biztos, ha mi magunk keressük fel az áruházat.

De nem csak a Steammel érdemes vigyázni:

Vigyázat! – Ne tölts le semmit, ha ilyen e-mailt kapsz a magyar kormánytól

 

https://leet.hu/akcios-szoftverek/

×