Steam用户请注意:有黑客正在针对高价值玩家进行钓鱼 且难以分辨
山外的鸭子哥
据安全公司 Group-IB 发布的研究报告,最近通过 Browser-in-the-Browser 技术对 Steam 玩家进行钓鱼的案例越来越多,且受影响的主要是高价值 Steam 玩家。
这些玩家账户被盗后在黑市中以 10~30 万美元的价格出售,部分高价值玩家损失惨重,因此 Steam 玩家应该关注这个问题避免被钓鱼。
怎么钓鱼的?
说起来其实并不复杂,黑客冒充部分知名的游戏锦标赛邀请高价值 Steam 账户参与所谓的比赛,黑客自己制作的网站模仿各类比赛的网站,如果要报名的话玩家必须登录自己的 Steam 账户。
当点击登录时网站会弹出 Steam 官方的登录地址(其实是假的),这是黑客利用 iframe 嵌套在自己网站中的。
用这种方式而不是直接要求玩家提供账户密码是因为黑客担心玩家识破地址栏网址,嵌套加载 Steam 官方地址可信度更高,但真的是 Steam 官方地址吗?
并不是,黑客自己仿照了个 Steam 官方登录地址插在钓鱼网站里,至于地址栏的 EV SSL 证书可信之类的也是黑客自己做的,这相当于利用 CSS 样式表做了个假样式而非真的调用 Steam。
玩家登录后还要提供 2FA 验证码,一旦提供账户权限就会被黑客控制,接着就是改信息后让真玩家无法控制自己的账户。
这个钓鱼网站支持27种语言,可以根据用户系统语言进行自适应
Browser-in-the-Browser
Group-IB 称通过 Browser-in-the-Browser 技术进行钓鱼的攻击越来越多,这不仅仅是针对 Steam 的,针对其他用户例如商业用户也开始有类似的攻击。
黑客伪造虚假的 Google、Microsoft 账户登录窗口进行钓鱼,这对很多非专业用户来说可以说是防不胜防。
Browser-in-the-Browser 与正常流程有个显著区别:如果真的调用 Steam 那浏览器在任务栏上实际上会有两个窗口,在网页里自己画个窗口只有一个窗口。但相信没有用户没事会去检查浏览器图标有几个窗口。
还有个办法是这类钓鱼需要使用 js,如果浏览器禁用 js 那也可以很容易看出来,然而没有用户会没事干禁用 js,这会导致很多网站出现异常。
所以本质上没有太好的一劳永逸的解决办法,只能用户自己不要轻信各种邀请赛、报价单和商务文件。