Novou techniku ​​útoků v prohlížeči využívají hackeři ke krádeži přihlašovacích údajů pro herní účty na Steamu, čímž jsou ohroženy miliony uživatelů.

Nový Browser-in-Browser Exploit využívá phishing ke krádeži dat

Uživatelé Steamu jsou nyní vystaveni riziku, že se na ně zaměří nový druh útoku prohlížeče v prohlížeči, který využívá phishing ke krádeži dat. Tento exploit, který byl objeven teprve v roce 2022, zahrnuje použití falešných přihlašovacích oken, aby si uživatelé mysleli, že se přihlašují ke svému oficiálnímu účtu Steam. Jak je často v případě phishingu, tato webová stránka je škodlivá a lze ji použít k odcizení přihlašovacích údajů uživatelů pro přístup k jejich účtům.

Phishing je velmi oblíbená taktika krádeže dat, kterou používají kyberzločinci po celém světě využívat také k napodobování jiných služeb, jako je Google, ke krádeži soukromých informací obětí. Ale hlavním cílem tohoto konkrétního podvodu jsou profesionální hráči.

Poskytovatel řešení kybernetické bezpečnosti Group-IB

uvedeno v příspěvku na blogu že útočníci po nich žádají, aby přilákali oběti přihlaste se do Steamu „připojit se k týmu na turnaji LoL, CS, Dota 2 nebo PUBG, hlasovat pro [svůj] oblíbený tým, koupit si zlevněné vstupenky na akce kybersportu a další“. Takové přesvědčovací prvky nejsou u phishingových podvodů neobvyklé.

Falešné přihlašovací stránky jsou znepokojivě přesvědčivé

Při tomto útoku podvodníci vytvářejí falešné přihlašovací stránky, které jsou téměř totožné s původními, což ztěžuje běžnému uživateli podvod vyčuhovat. Group-IB ve výše uvedeném příspěvku na blogu uvedla, že tyto falešné stránky Steam mají „falešný zelený znak zámku, a falešné pole URL, které lze zkopírovat, a dokonce další okno Steam Guard pro dvoufaktorové ověření“. Tyto falešné stránky lze dokonce zobrazit ve více jazycích.

Útočník ve své zprávě pro cíl často zahrne odkaz na falešnou webovou stránku herního turnaje, která pak povede na falešnou přihlašovací stránku Steam. Díky sofistikovanosti tohoto podvodu je zvláště nebezpečný pro ty, kteří nevědí, na co si dát pozor při kontrole web je škodlivý.

Virtuální aktiva a platební údaje jsou v ohrožení

Když útočník získá přístup k účtu oběti, změní přihlašovací údaje tak, aby k nim oběť nemohla okamžitě přistupovat. V době, kdy oběť obnoví svůj účet, je pravděpodobné, že většina, ne-li všechna, jejich cenných virtuálních aktiv bude pryč.

Kromě toho je oběť vystavena riziku zneužití údajů o platební kartě, pokud je na svém účtu uvedla. Tento druh informací může být na temných webových tržištích velmi cenný a často se prodávají za účelem zisku dalším škodlivým jednotlivcům.

Phishing je stále rozšířenější

S růstem odvětví kybernetické kriminality se spouští stále více druhů phishingových útoků proti nic netušícím obětem, ať už jde o jednotlivce nebo celé organizace. To je důvod, proč je v naší moderní době tak důležitá vysoká úroveň ochrany soukromí zařízení a účtu.