Atak na użytkowników Steam. Można stracić konto
Platforma Steam znana jest już z tego, że oszuści wyłudzają na niej wirtualne przedmioty, ale teraz to coś innego. Stracić można całe konto.
Sprawa najwyraźniej jest poważna, bo ostrzeżenie zdecydował się wydać Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego, aka CSIRT KNF.
Wykorzystując wizerunek platformy Steam, przestępcy wykonują atak może nie najpopularniejszą, ale co za tym idzie groźną techniką browser in the browser.
Implementacja tej metody polega na stworzeniu generycznej, fałszywej strony, po której otwarciu w formie wyskakującego okienka automatycznie wyświetli się kolejna. Również fałszywa, ale do tego w przekonujący sposób udająca Steam.
Dzięki temu, że podróbka otwiera się w popupie, napastnicy mogą stworzyć iluzję jej oryginalności, przedstawiając na pasku adresu prawdziwy URL.
Ofiara takiego ataku, nieświadoma zagrożenia, ma zostać skłoniona do zalogowania się na Steam poprzez fałszywą stronę. Tym samym jednak ujawni napastnikom swój login i hasło do konta.
Jak się przed tym zabezpieczyć? Najprościej jest włączyć weryfikację dwuetapową w aplikacji mobilnej Steam. W ten sposób nawet gdy ktoś wykradnie hasło podstawowe, i tak nie zdoła dostać się głębiej.