Gracze już od dłuższego czasu znajdują się w kręgu zainteresowania cyberprzestępców. Popularność gier online stale rośnie, a to zmusiło nieuczciwych hakerów do zmiany taktyki. Jeszcze do niedawna większość z nich zajmowała się piraceniem i rozpowszechnianiem kopii gier wśród graczy. Jednak w obecnych czasach cyberprzestępcy przebranżowili się na działalność online i działając w cyberprzestrzeni, szukają sposobów na zainfekowanie swoich ofiar. Jednym z tych sposobów jest technika Browser-in-the-Browser.
Hakerzy kradną konta Steam
Nowa metoda, jak sama nazwa wskazuje, powiązana jest z techniką phishingu w przeglądarce. Metoda zyskuje na popularności, a polega ona na tworzeniu fałszywych okien przeglądarki w aktywnym oknie. Takie okno do złudzenia przypomina wyskakującą stronę logowania do danej usługi. Korzystając z tej techniki, cyberprzestępcy są w stanie tworzyć fałszywe formularze logowania do kont m.in. Steam, Microsoft czy Google. Tak naprawdę phishing metodą BitB pozwala na uzyskanie danych logowania do dowolnej usługi, wszystko to jest kwestią kreatywności przestępcy.
Group-IB opublikowała nowy raport ilustrujący działanie kampanii wykorzystującej omawianą metodę, skierowanej w użytkowników Steam. Ataki phishingowe mają na celu oczywiście przejmowanie i sprzedaż kont. Według danych z 2021 r. najcenniejszy profil Steam wyceniono na kwotę prawie 300 tys. dolarów, czyli ponad miliona złotych.
Przebieg ataku
Phishing kit wykorzystywany w obserwowanej kampanii nie jest dostępny na forach hakerskich, czy możliwy do zakupienia w darkwebie. Badacze zauważyli, że hakerzy używają go prywatnie, a swoje działania koordynują na kanałach Discord lub Telegram.
Atak rozpoczyna się w momencie wysłania do ofiary wiadomości na Steamie z zaproszeniem do dołączenia do drużyny. Ofiara wabiona jest propozycją wspólnej gry w turniejach League of Legends, Counter Strike, Dota 2 lub PUBG.
Phishingowy link prowadzi do strony, która faktycznie zdaje się należeć do organizacji e-sportowej. Aby dołączyć do drużyny i zagrać w zawodach należy zalogować się za pośrednictwem swojego konta Steam. Tutaj jednak pojawia się haczyk, ponieważ nowe okno strony logowania wcale nie jest rzeczywistym wyskakującym okienkiem nałożonym na istniejącą witrynę. Oszuści używają fałszywego okna logowania utworzonego na bieżącej stronie, co bardzo utrudnia wykrycie ataku phishingowego.
Gdy ofiara wprowadzi swoje dane uwierzytelniające, nowy formularz informuje o konieczności wprowadzenia kodu 2FA. Jeśli uwierzytelnianie się powiedzie, użytkownik trafia zwykle pod prawidłowy adres URL, aby zminimalizować szanse na uświadomienie sobie włamania. By utrudnić właścicielowi odzyskanie kontroli nad kontem, przestępcy jak najszybciej zmieniają skradzione dane uwierzytelniające. Zanim ofiara odzyska dostęp, prawdopodobnie zdąży stracić posiadane na koncie towary. Ponadto może być narażona na wykorzystanie danych karty płatniczej, jeśli udostępniła je na swoim koncie. Tego rodzaju informacje są przecież bardzo cenne na forach darkwebowych.
Jak rozpoznać atak Browser-in-the-Browser?
Rozpoznanie ataku nie jest trudne, trzeba jednak wiedzieć, jak działa technika Browser-in-the-Browser. Z pozoru można uwierzyć, że korzysta się z prawdziwej witryny: z certyfikatem SSL, prawidłowym adresem URL i profesjonalnym wyglądem. Dodatkowo, fałszywe okno można zmaksymalizować, zminimalizować i przesunąć, co uwiarygodnia przekręt. Technika BitB wymaga użycia JavaScript, zatem blokowanie skryptów JS zapobiegłoby wyświetlaniu fałszywego okienka. Większość użytkowników nie blokuje ich jednak, z obawy, że treści lub niektóre funkcje stron mogłyby być przez to niedostępne. Aby jednak sprawdzić prawdziwość wyskakującego okienka, wystarczy spróbować przesunąć go poza granice okna, na którym się pojawiło. Jeśli da się go “przeciągnąć” poza okno – wszystko jest w porządku. Jeśli jednak okienko porusza się tylko w ramach okna istniejącej witryny – z całą pewnością mamy do czynienia z oszustwem.
Aby zapobiegać tego typu atakom, należy stosować się do znanych i powszechnych zasad bezpieczeństwa. Nie należy otwierać linków z nieznanych źródeł, a także dokładnie filtrować lub ignorować wiadomości od nieznajomych nadawców.
Redaktorka Net Complex Blog