Įsilaužėliai naudoja naują naršyklės naršyklėje atakos techniką, kad pavogtų „Steam“ žaidimų paskyrų prisijungimo duomenis, o tai kelia pavojų milijonams vartotojų.
Naujasis naršyklės išnaudojimas naudoja sukčiavimą duomenims pavogti
Dabar „Steam“ naudotojams gresia naujos rūšies naršyklė naršyklėje ataka, kuri naudoja sukčiavimą duomenims pavogti. Šis išnaudojimas, kuris buvo aptiktas tik 2022 m., apima netikrų prisijungimo langų naudojimą, siekiant suklaidinti vartotojus, kad jie galvoja, kad jie prisijungia prie savo oficialios „Steam“ paskyros. Kaip dažnai būna sukčiavimo atveju, šis tinklalapis yra kenkėjiškas ir gali būti naudojamas pavogti vartotojo prisijungimo duomenis, kad būtų galima pasiekti jų paskyras.
Sukčiavimas yra labai populiari duomenų vagystės taktika, kurią naudoja kibernetiniai nusikaltėliai visame pasaulyje, naudojant šią naujesnę išnaudoti taip pat yra naudojamas imituoti kitas paslaugas, pvz., „Google“, kad pavogtų privačią informaciją aukos. Tačiau profesionalūs žaidėjai yra pagrindinis šios sukčiavimo tikslas.
Kibernetinio saugumo sprendimų tiekėjas Group-IB rašoma dienoraščio įraše kad, norėdami privilioti aukas, užpuolikai jų prašo prisijungti prie Steam „Prisijungti prie komandos LoL, CS, Dota 2 ar PUBG turnyre, balsuoti už [jų] mėgstamiausią komandą, įsigyti bilietus su nuolaida į kibernetinio sporto renginius ir dar daugiau“. Tokie įtikinami elementai nėra neįprasti sukčiavimo sukčiavimo atveju.
Netikri prisijungimo puslapiai kelia nerimą
Šios atakos metu sukčiai sukuria netikrus prisijungimo puslapius, kurie yra beveik identiški originaliems, todėl paprastam vartotojui sunku išsiaiškinti sukčiavimą. Grupė-IB minėtame tinklaraščio įraše nurodė, kad šiuose netikruose „Steam“ puslapiuose yra „netikras žalias užrakto ženklas, netikras URL laukas, kurį galima nukopijuoti, ir net papildomas „Steam Guard“ langas dviejų veiksnių autentifikavimui“. Šie netikri puslapiai gali būti rodomi net keliomis kalbomis.
Užpuolikas į savo pranešimą taikiniui dažnai įtrauks nuorodą į netikrą žaidimų turnyro svetainę, kuri tada nukreips į netikrą Steam prisijungimo puslapį. Dėl šios sukčiavimo sudėtingumo jis ypač pavojingas tiems, kurie nežino, į ką atkreipti dėmesį tikrindami, ar svetainė yra kenkėjiška.
Kyla pavojus virtualiam turtui ir mokėjimo informacijai
Kai piktybinis užpuolikas gauna prieigą prie aukos paskyros, jis pakeis prisijungimo informaciją, kad auka negalėtų jos iš karto pasiekti. Kai auka atgaus savo sąskaitą, tikėtina, kad daugumos, jei ne viso, vertingo virtualaus turto nebeliks.
Be to, nukentėjusysis rizikuoja, kad bus panaudoti jo mokėjimo kortelės duomenys, jei jie juos nurodė savo paskyroje. Tokia informacija gali būti labai vertinga tamsiosiose žiniatinklio rinkose ir dažnai parduodama siekiant pelno kitiems piktavaliams asmenims.
Sukčiavimas ir toliau plinta
Augant elektroninių nusikaltimų pramonei, vis daugiau sukčiavimo atakų pradedama prieš nieko neįtariančias aukas, nesvarbu, ar tai būtų asmenys, ar visos organizacijos. Štai kodėl aukštas įrenginio ir paskyros privatumo lygis yra toks svarbus mūsų laikais.