Steam | Phishing | Podvod

Hráče na Steamu ohrožuje sofistikovaný podvod. Cílem je krádež přihlašovacích údajů

Koordinované skupiny hackerů se zaměřují na uživatele herní služby Steam pomocí podvodu označovaného jako „prohlížeč v prohlížeči“ („browser-in-the-browser“). Jejich cílem je krádež přihlašovacích údajů. Na nebezpečí upozornili experti z kyberbezpečnostní firmy Group-IB Ivan Lebedev a Dmitry Eroshe.

Jen v červenci identifikovali specialisté na bezpečnost více než 150 podvodných zdrojů napodobujících herní platformu Steam. K odcizení přihlašovacích údajů ke službě používají hackeři novou phishingovou techniku, která uživatele přesvědčí, že falešná webová stránka je vlastně oficiálním webem.

Hackeři kradou přístup ke Steamu

Služba Steam se může pochlubit více než 120 miliony uživatelů a její portfolio zahrnuje více než 50 000 titulů. Méně aktivní hráči mají na svých účtech nakoupené hry v řádu stokorun až tisícikorun, nicméně mezi uživateli se najdou i tací, jež prostřednictvím této platformy nakoupili hry a herní předměty v hodnotě desítek až stovek tisíc korun. Odcizení účtu tak může znamenat i citelnou finanční újmu.

Podvodníci během více než dvaceti let vytvořili stovky podvodných zdrojů vydávajících se za Steam, ale většina těchto stránek vypadala polovičatě a uživatelé snadno odhalili podvrh. Na jaře tohoto roku se však nečekaně objevila nová technika phishingu, kterou popsal bezpečnostní expert, vystupující pod přezdívkou mr.d0x, jako „prohlížeč v prohlížeči“.

Pomocí této techniky hackeři vytvoří na phishingovém webu falešné okno prohlížeče, které je na první pohled k nerozeznání od toho autentického. Útočníci se rozhodli využít (nebo možná přesněji řečeno zneužít) skutečnosti, že Steam používá namísto nové karty pro ověření uživatele vyskakovací okno.

Lákání důvěřivých uživatelů

Protože technologie „prohlížeče v prohlížeči“ představuje pro uživatele značné riziko, rozhodli se ji odborníci z Group-IB podrobně analyzovat na příkladu phishingového webu, který napodobuje službu Steam. Zjistili, že útočníci posílají uživatelům Steamu zprávy s různými lákavými nabídkami – například aby se přidali k hernímu týmu, hlasovali pro tým, koupili si zlevněné vstupenky na kybernetické sportovní akce a další.

V jiném případě byla divákům herního videa nabídnuta možnost navštívit jiný zdroj. Reklama přesměrovávající uživatele na podvodnou webovou stránku se zobrazovala v obraze i v popisu videa. Téměř každé tlačítko na podvodných stránkách pak otevíralo formulář pro zadání přihlašovacích údajů napodobující legitimní přihlašovací okno služby Steam.

Na rozdíl od tradičních phishingových stránek, jež otevírají podvodné webové stránky na nové kartě (nebo na ně uživatele přesměrovávají), se v tomto případě otevírá falešné okno prohlížeče na stejné kartě. Adresní řádek obsahuje adresu URL webové stránky třetí strany, kterou chce oběť navštívit (tj. v tomto případě Steam), přičemž adresa ve vyskakovacím okně je totožná s legitimní adresou.

Jak se bránit útokům?

Cílem této mystifikace je snaha získat přihlašovací údaje uživatele ke službě Steam. Každý, kdo naletí falešnému vyskakovacímu oknu a zadá své jméno a heslo, tak odešle hackerům své přihlašovací údaje a umožní jim zmocnit se účtu na službě Steam.

Za současného stavu je hackerský útok poměrně sofistikovaný a přístup k phishingové sadě použité k jeho provedení mají pouze určité skupiny. Experti z Group-IB však varují, že tyto hackerské skupiny mají tendenci nabízet phishing jako službu na zakázku, nicméně v současné době se tento konkrétní hack používá spíše při koordinovaných útocích.

Ochrana před podvodem v tomto případě leží na bedrech uživatelů, kteří by v žádném případě neměli klikat na odkazy zaslané někým, koho neznají a komu nedůvěřují. Bezpečnou praxí je nikdy nezadávat přihlašovací údaje na webu nebo prostřednictvím webu, na který se dostali přes odkaz zaslaný prostřednictvím zprávy.

Diskuze (16) Další článek: Nezapomeňte upgradovat. Za tři měsíce skončí podpora Windows 10 21H1

Témata článku: Steam, Hacking, Phishing, Podvod, Valve, Webová stránka, Údaj, Krádež, Přihlašovací údaj, Hacker, Okno, URL, Prohlížeč, Group, Uživatelé



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Konec českého poskytovatele internetu v přímém přenosu. Připomíná to krachující energetické firmy
Lukáš Václavík
CETINPoskytovatelé internetuPřipojení k internetu
Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

Nový hit. Tahle appka vám udělá profilovku jako od pouličního ilustrátora

** Aplikace NewProfilePic se na Androidu stala hitem ** Můžete si v ní vytvořit profesionálně vypadající profilovky ** Pozor ale na agresivní cenovou politiku za Pro verzi

Martin Chroust
FotografieUmělá inteligenceMobilní aplikace
Ruský koronavirus dokáže nakazit člověka. Imunita proti covidu ně něj nezabírá

Ruský koronavirus dokáže nakazit člověka. Imunita proti covidu ně něj nezabírá

** Koronavirus Khosta-2 přenášejí netopýři v okolí černomořského střediska Soči ** Ruští virologové ho považovali za neškodného pro člověka ** Teď se američtí vědci postarali o radikální přehodnocení tohoto názoru

Jaroslav Petr
KoronavirusRusko
Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

Nastal pravý čas na výměnu telefonu. Jak poznat, že ten váš už dosluhuje?

** Jak poznat, že váš telefon má nejlepší dny za sebou? ** Vypadá potlučeně, má pavučinu nebo nedostává aktualizace? ** Ukážeme si, kdy má smysl jeho oprava, a kdy už jen koupě nového

Martin Chroust
Prasklý displejVysloužilý mobilSmartphony
Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

Tuto českou základnu plnou satelitů nesmíte vidět. V Mapy.cz je každá anténa pečlivě vyretušovaná

** Zapomeňte na rozčtverečkovaná místa, kterých si každý všimne ** Mapy.cz musely dokonale zakrýt desítky parabol ** Základnou se přitom na webu chlubí i její majitel. Kocourkov

Jakub Čížek
ČeskoMapy.czMapy
25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

25 nejlepších filmových parodií, které můžete vidět. Víme, kde je najdete online

Filmové parodie jsou divácky velmi vděčné a mezi filmaři oblíbené. Tvůrci v nich mohou totiž zcela beztrestně vykrádat cizí díla a v jejich nápodobě popustit uzdu své fantazii. Vybrali jsme nejlepší zahraniční i české parodie.

Marek Čech
Filmy, které musíte vidět
Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

** RAM je po procesoru druhým nejdůležitějším HW parametrem ** Stará se o rychlý multitasking a o svižné načítání dat ** Věděli jste, kolik v RAM průměrně zabírá Android 12?

Martin Chroust
Virtuální RAMOperační paměť