Специалисты Центра реагирования на инциденты информационной безопасности Group-IB выяснили, что мошенники открыли охоту за Steam-аккаунтами. С недавних пор они начали использовать новую фишинговую технику, известную как Browser-in-the-browser («браузер в браузере»). Как она работает, и что нужно сделать, чтобы не стать жертвой негодяев?
Злоумышленники ищут своих жертв в тематических игровых чатах или пабликах. Они предлагают присоединиться к киберспортивным турнирам по популярным играм, например, League of Legends, Dota 2, PUBG, а также проголосовать за любимую команду или купить скин. Еще один популярный способ — разместить ссылку на портал в комментариях или в описании популярного ролика на YouTube.
«Применяя технику Browser-in-the-browser, злоумышленники пользуются тем, что на платформе Steam аутентификация происходит во всплывающем окне, а не в новой вкладке. В отличие от большинства мошеннических ресурсов, которые открывают фишинговую страницу в новой вкладке или делают переход, новая техника открывает поддельное окно браузера на прежней вкладке», — рассказывают эксперты Group-IB.
Фишинговые сайты сейчас заметно «прокачались». Теперь в них доступны перевод на 27 языков, а также дополнительные всплывающие окна, повторяющие официальный сайт Steam. Например, если пользователя стоит двухфакторная аутентификация, то появится окно с предложением ввести отправленный на почту или смартфон код.
«Похоже, прежние советы, которые несколько лет назад помогали геймерам определить фишинговый сайт, сегодня уже бесполезны против нового метода мошенников. Фишинговые ресурсы, использующие технологию Browser-in-the-browser, представляют опасность даже для опытных пользователей Steam, соблюдающих основные правила кибербезопасности, — отмечает Александр Калинин, руководитель Центра реагирования на инциденты информационной безопасности Group-IB (CERT-GIB 24/7).
Эксперты составили список советов, которые помогут определить фишинговый сайт, созданный по схеме browset-in-the-browser. Вот, что нужно сделать:
- Сверить дизайн заголовка и адресной строки открывшегося окна. Подделка может отличаться от стандартной для вашего браузера. Стоит обратить внимание на шрифты и вид кнопок управления.
- Проверить, открылось ли новое окно в панели задач. Если нет — окно поддельное.
- Попытаться увеличить/уменьшить окно — поддельное не предоставляет такой возможности. Также не получится его развернуть на весь экран.
- Окно ограничено экраном браузера — его не получится передвинуть на элементы управления изначальной вкладки.
- Кнопка сворачивания поддельного окна просто закрывает его.
- В фишинговой форме «замочек», отображающий сертификат, — обычное изображение. При нажатии на него не произойдет ничего, тогда как настоящий браузер предложит посмотреть информацию об SSL-сертификате.
- Поддельная адресная строка не функциональна. В некоторых случаях она не позволяет ввести другой URL, но даже если позволит — перейти на него в этом же окне будет невозможно.
- Окно перестанет появляться при отключении исполнения JS-скриптов в настройках браузера.
