A Group-IB tett közzé érdekes jelentést, egy Steam felhasználókat ─ azon belül is leginkább a profi e-sportolókat ─ célzó új adathalász kampányról, ami a nagyon megtévesztő Browser-in-the-Browser technikát alkalmazza.
A módszerről mr.d0x biztonsági kutató készített leírást, de az „Adathalászat – a leghatékonyabb kiberfegyver” című elemzésünkben is tárgyaltuk.
A Group-IB szerint a hackerek közvetlenül keresik fel az áldozatokat, és privát Discord vagy Telegram csatornákon készítik elő a támadást. Az áldozatokat direkt üzenetekben arra kérik, hogy csatlakozzanak egy csapathoz League of Legends (LoL), Counter-Strike (CS), Dota 2 vagy PlayerUnknown’s Battlegrounds (PUBG) bajnokságokon. Az így küldött linkek egy látszólag e-sporttal foglalkozó adathalász weboldalra irányítják a felhasználókat, ahol – hogy csatlakozhassanak a bajnoksághoz – be kell jelentkezniük a Steam fiókukba.
A BitB módszer lényege, hogy az adathalász bejelentkezési oldal nem önálló oldalként, hanem egy böngészőablakban nyílik meg. A támadóknak ez azért nagyon hasznos, mert ezen bármilyen teljesen valódinak tűnő webcímet beállíthatnak, így aztán nagyon nehéz észlelni, hogy az valójában egy hamis bejelentkezési felület.
Amennyiben egy áldozat itt megadja a bejelentkezési adatit, egy hibaüzenet jelenik meg a képernyőn, ahol a kétfaktoros azonosításhoz (2FA) szükséges kódot is bekérik, majd ha ezt is megadja az áldozatot, átirányítják egy valóban legitim weboldalra, ezáltal is csökkentve annak esélyét, hogy a felhasználó időben ráébredjen az átverésre. Sajnos az ilyen támadások során az elkövetők nagyon gyorsan kizárják az áldozatokat a saját fiókjukból.
Hogyan lehet észrevenni egy BitB támadást?
Igazából nehezen, ugyanis a támadók olyan URL címet jelenítenek meg a böngészőablakban, amilyet csak szeretnének, és ugyanez igaz a HTTPS kapcsolatot jelző SSL tanúsítvány szimbólumra (lakat) is.
A JavaScriptek blokkolásával elkerülhetők az ilyen jellegű – legtöbbször JavaScripen alapuló ─ adathalász oldalak, azonban sokan azért nem választják ezt az opciót, mert ez fennakadásokat okozhat a legitim weboldalak működésében is.
A legbiztosabb, ha kerüljük az ismeretlen felhasználóktól kapott hivatkozások megnyitását.