Egy egyre népszerűbb adathalász technikával lopnak Steam fiókadatokat a kiberbűnözők

A Group-IB tett közzé érdekes jelentést, egy Steam felhasználókat ─ azon belül is leginkább a profi e-sportolókat ─ célzó új adathalász kampányról, ami a nagyon megtévesztő Browser-in-the-Browser technikát alkalmazza.

A módszerről mr.d0x biztonsági kutató készített leírást, de az „Adathalászat – a leghatékonyabb kiberfegyver” című elemzésünkben is tárgyaltuk.

A Group-IB szerint a hackerek közvetlenül keresik fel az áldozatokat, és privát Discord vagy Telegram csatornákon készítik elő a támadást. Az áldozatokat direkt üzenetekben arra kérik, hogy csatlakozzanak egy csapathoz League of Legends (LoL), Counter-Strike (CS), Dota 2 vagy PlayerUnknown’s Battlegrounds (PUBG) bajnokságokon. Az így küldött linkek egy látszólag e-sporttal foglalkozó adathalász weboldalra irányítják a felhasználókat, ahol – hogy csatlakozhassanak a bajnoksághoz – be kell jelentkezniük a Steam fiókukba.

1. kép: A hamis verseny platform Forrás: BleepingComputer
2. kép: Az adathalász ablak Forrás: BleepingComputer

A BitB módszer lényege, hogy az adathalász bejelentkezési oldal nem önálló oldalként, hanem egy böngészőablakban nyílik meg. A támadóknak ez azért nagyon hasznos, mert ezen bármilyen teljesen valódinak tűnő webcímet beállíthatnak, így aztán nagyon nehéz észlelni, hogy az valójában egy hamis bejelentkezési felület.

Amennyiben egy áldozat itt megadja a bejelentkezési adatit, egy hibaüzenet jelenik meg a képernyőn, ahol a kétfaktoros azonosításhoz (2FA) szükséges kódot is bekérik, majd ha ezt is megadja az áldozatot, átirányítják egy valóban legitim weboldalra, ezáltal is csökkentve annak esélyét, hogy a felhasználó időben ráébredjen az átverésre. Sajnos az ilyen támadások során az elkövetők nagyon gyorsan kizárják az áldozatokat a saját fiókjukból.

Hogyan lehet észrevenni egy BitB támadást?

Igazából nehezen, ugyanis a támadók olyan URL címet jelenítenek meg a böngészőablakban, amilyet csak szeretnének, és ugyanez igaz a HTTPS kapcsolatot jelző SSL tanúsítvány szimbólumra (lakat) is.

A JavaScriptek blokkolásával elkerülhetők az ilyen jellegű – legtöbbször JavaScripen alapuló ─  adathalász oldalak, azonban sokan azért nem választják ezt az opciót, mert ez fennakadásokat okozhat a legitim weboldalak működésében is.

A legbiztosabb, ha kerüljük az ismeretlen felhasználóktól kapott hivatkozások megnyitását.

(bleepingcomputer.com)