Pesquisadores descobriram uma técnica de phishing “inovadora” que faz um bom trabalho em mascarar as intenções dos golpistas. Segundo eles, os hackers criaram um site de phishing para roubar contas Steam.
Como uma das maiores plataformas de distribuição digital para videogames do mundo, o Steam apresenta uma variedade de funções. São listas de amigos e a capacidade de trocar elementos de jogos com outros usuários.
Embora esse foco na comunidade tenha ajudado a Steam a se destacar em um mercado cada vez mais competitivo, também deixa os usuários vulneráveis a práticas enganosas.
Um estudante de informática de 22 anos com o nome ‘Aurum’ forneceu detalhes de um novo esquema de phishing para o Steam.
Um site para roubar contas Steam
De acordo com o pesquisador, o site de phishing tentou enganar os usuários com um certificado SSL válido. Além disso, gerou um pop-up pedindo que a vítima faça o login com sua conta Steam para acesso ao site.
Nas palavras de Aurum, ele descreve como ele percebeu isso:
“O bate-papo parecia simples, o golpista queria me dar uma troca proveitosa (eles tentavam fazer com que eu os adicionasse à Discord por algum motivo).
Perto do fim da discussão de “troca”, eles me pediram para entrar em um site de avaliação de preços do Steam para que eles pudessem ter uma idéia de quanto minhas coisas valiam.
O site de phishing, “tradeit” era uma cópia de um site legítimo da Steam, https://skins.cash. “
Embora parecesse legítimo, Aurum descobriu que não resultou em duas instâncias do Chrome na barra de tarefas, e resultou em “apenas uma janela para o site de phishing”.
“Eles até criaram alguns botões para os elementos da interface do usuário do Chrome”, disse ele. “Isso foi confirmado ao tentar clicar com o botão direito do mouse na área da barra de título, que abriu o menu de uma página da web.”
Os hackers hospedaram o site de phishing no CloudFare e até optaram por usar um certificado SSL do CloudFare para torná-lo o mais confiável possível.
O phishing começou com um pop-up que lhe pedia para entrar no Steam, alegando que o site de “phishing” estava sobrecarregado.
Sobre o site falso
O site de falso do Steam usou uma técnica de phishing picture-in-picture. Esta técnica simula uma tela de login do OpenID sem falhas.
Aurum sentiu que algo estava errado. O site que ele acreditava ser falso desde o começo estava abrindo um pop-up de login do OpenID Steam.
Ataques dessa natureza certamente não são novidade. Uma técnica semelhante é descrita desde 2007.
O Steam já inclui um guia detalhado para ajudar os usuários a manterem suas contas seguras.
O site falso agora está off-line porque o registro DNS foi removido.
Mas um usuário conseguiu um dados do site e todo o código antes de ser excluído e tomou a liberdade de compartilhá-lo no GitHub. É um código bem simples. O link é esse.
Os hackers copiaram o site comercial legítimo, assim como a página de login da Comunidade Steam. Além disso, adicionaram um código JavaScript a ambos e retocaram um pouco o HTML.
Tudo ocorre em três fases. Primeiro, detecta depuradores; depois, abre o navegador com a página falsa; por último, coleta as credenciais da página de login do Steam.
