Hackers simuleer blaaier-opspringer om Steam-rekeningbewyse te onderskep

'n Nuwe soort uitvissing word deur misdadigers gebruik om Steam-rekeninge te steel en te herverkoop. Dit is wat kenners 'n blaaier-in-blaaier-aanval noem, wat daarop dui dat 'n aanmeldskerm as 'n pop-up verskyn.

Die nuwe tegniek is reeds vroeër vanjaar deur ’n navorser met die skuilnaam ontdek mnr.d0x. Nou wys 'n ondersoek deur die sekuriteitsmaatskappy Group IB dat hierdie tegniek gebruik word om stoomrekeningbewyse te onderskep. Soortgelyk aan bekende uitvissingstegnieke, word die slagoffer herlei na 'n vals webwerf wat deur die hacker opgestel is. Dit is ook die geval met hierdie aanvalle op Steam-gebruikers. Slagoffers word na 'n Counterstrike-toernooi-webwerf gelok en moet met hul Steam-rekening aanmeld.

Normaalweg wys die ssl-sertifikaat en dikwels ook die url dat dit nie 'n wettige webwerf is nie. Met die blaaier-in-blaaier-tegniek is dit baie moeiliker om te sien, want hierdie uitvissing-werf gebruik JavaScript om 'n opwip-aanmeldvenster te vertoon, wat amper nie onderskei kan word van 'n regte Steam-aanmeldvenster nie.

Die venster kan eenvoudig binne die oop oortjie geskuif word. Daarbenewens lyk die URL in die vals venster ook wettig en die groen slot vir 'n korrekte SSL-sertifikaat word vertoon. Eers wanneer die slagoffer die eerste venster toemaak, sal dit duidelik word dat die opwipskerm deel van die huidige bladsy is.

Die oomblik wanneer 'n slagoffer suksesvol deur die vals venster aanmeld, het die misdadigers toegang tot die Steam-rekening. Om nie die slagoffer te alarmeer nie, sal hulle na suksesvolle aanmelding na 'n toernooi-inskrywingsbevestigingsbladsy gestuur word.