Разработчик решений для детектирования и предотвращения кибератак Group-IB обнаружил в июле этого года более 150 мошеннических ресурсов, которые представляют собой лже-версию Steam. Для «угона» учётных записей мошенники используют технику Browser-in-the-browser.
Сначала злоумышленники предлагают «оценить игру», «присоединиться к турниру» или «получить скин или внутриигровой предмет». Геймер переходит по ссылке, а после видит, что каждая кнопка на мошенническом ресурсе открывает форму ввода данных учётной записи, повторяющую оригинальное окно Steam. Во всплывающем окне размещается даже иконка SSL-сертификата организации и доступны 27 языков.
«После того, как пользователь вводит данные в фишинговой форме, они сразу же отправляются злоумышленнику и автоматически вводятся на официальном ресурсе. Если ввести данные некорректно (один из способов проверки подлинности ресурса из игровых пабликов), то новая фишинговая форма сообщит об ошибке, как “настоящий” Steam. Если у жертвы включена двухфакторная аутентификация, то мошеннический ресурс покажет запрос кода в дополнительном окне».
Специалисты Group-IB связались с Valve, разработчиком Steam, и предупредили о своей находке. Однако пока они определили восемь пунктов, по которым можно понять, настоящий ли перед вами сайт:
Сверить дизайн заголовка и адресной строки открывшегося окна. Подделка может отличаться от стандартной для вашего браузера.
Поддельное окно не отображается в панели задач.
Масштаб поддельного окна не изменяется. Также не получится его развернуть на весь экран.
Поддельное окно ограничено экраном браузера — его не получится передвинуть на элементы управления изначальной вкладки.
Кнопка сворачивания поддельного окна просто закрывает его.
В фишинговой форме “замочек”, отображающий сертификат, — обычное изображение. При нажатии на него не произойдет ничего, тогда как настоящий браузер предложит посмотреть информацию об SSL-сертификате.
Поддельная адресная строка не функциональна или не позволит перейти на другой адрес в этом же окне.
Окно перестанет появляться при отключении исполнения JS-скриптов в настройках браузера.
