Koordinované skupiny hackerů se zaměřují na uživatele herní služby Steam pomocí podvodu označovaného jako „prohlížeč v prohlížeči“ („browser-in-the-browser“). Jejich cílem je krádež přihlašovacích údajů. Na nebezpečí upozornili experti z kyberbezpečnostní firmy Group-IB Ivan Lebedev a Dmitry Eroshe.
Jen v červenci identifikovali specialisté na bezpečnost více než 150 podvodných zdrojů napodobujících herní platformu Steam. K odcizení přihlašovacích údajů ke službě používají hackeři novou phishingovou techniku, která uživatele přesvědčí, že falešná webová stránka je vlastně oficiálním webem.
Hackeři kradou přístup ke Steamu
Služba Steam se může pochlubit více než 120 miliony uživatelů a její portfolio zahrnuje více než 50 000 titulů. Méně aktivní hráči mají na svých účtech nakoupené hry v řádu stokorun až tisícikorun, nicméně mezi uživateli se najdou i tací, jež prostřednictvím této platformy nakoupili hry a herní předměty v hodnotě desítek až stovek tisíc korun. Odcizení účtu tak může znamenat i citelnou finanční újmu.
Podvodníci během více než dvaceti let vytvořili stovky podvodných zdrojů vydávajících se za Steam, ale většina těchto stránek vypadala polovičatě a uživatelé snadno odhalili podvrh. Na jaře tohoto roku se však nečekaně objevila nová technika phishingu, kterou popsal bezpečnostní expert, vystupující pod přezdívkou mr.d0x, jako „prohlížeč v prohlížeči“.
Pomocí této techniky hackeři vytvoří na phishingovém webu falešné okno prohlížeče, které je na první pohled k nerozeznání od toho autentického. Útočníci se rozhodli využít (nebo možná přesněji řečeno zneužít) skutečnosti, že Steam používá namísto nové karty pro ověření uživatele vyskakovací okno.
Lákání důvěřivých uživatelů
Protože technologie „prohlížeče v prohlížeči“ představuje pro uživatele značné riziko, rozhodli se ji odborníci z Group-IB podrobně analyzovat na příkladu phishingového webu, který napodobuje službu Steam. Zjistili, že útočníci posílají uživatelům Steamu zprávy s různými lákavými nabídkami – například aby se přidali k hernímu týmu, hlasovali pro tým, koupili si zlevněné vstupenky na kybernetické sportovní akce a další.
V jiném případě byla divákům herního videa nabídnuta možnost navštívit jiný zdroj. Reklama přesměrovávající uživatele na podvodnou webovou stránku se zobrazovala v obraze i v popisu videa. Téměř každé tlačítko na podvodných stránkách pak otevíralo formulář pro zadání přihlašovacích údajů napodobující legitimní přihlašovací okno služby Steam.
Na rozdíl od tradičních phishingových stránek, jež otevírají podvodné webové stránky na nové kartě (nebo na ně uživatele přesměrovávají), se v tomto případě otevírá falešné okno prohlížeče na stejné kartě. Adresní řádek obsahuje adresu URL webové stránky třetí strany, kterou chce oběť navštívit (tj. v tomto případě Steam), přičemž adresa ve vyskakovacím okně je totožná s legitimní adresou.
Jak se bránit útokům?
Cílem této mystifikace je snaha získat přihlašovací údaje uživatele ke službě Steam. Každý, kdo naletí falešnému vyskakovacímu oknu a zadá své jméno a heslo, tak odešle hackerům své přihlašovací údaje a umožní jim zmocnit se účtu na službě Steam.
Za současného stavu je hackerský útok poměrně sofistikovaný a přístup k phishingové sadě použité k jeho provedení mají pouze určité skupiny. Experti z Group-IB však varují, že tyto hackerské skupiny mají tendenci nabízet phishing jako službu na zakázku, nicméně v současné době se tento konkrétní hack používá spíše při koordinovaných útocích.
Ochrana před podvodem v tomto případě leží na bedrech uživatelů, kteří by v žádném případě neměli klikat na odkazy zaslané někým, koho neznají a komu nedůvěřují. Bezpečnou praxí je nikdy nezadávat přihlašovací údaje na webu nebo prostřednictvím webu, na který se dostali přes odkaz zaslaný prostřednictvím zprávy.