この新しいフィッシング技術により、Steam アカウントが危険にさらされる可能性があります

ハッカーは再びゲーマーを標的にしています。今回は、注意しないと Steam アカウントを失う可能性があります。

ハッカーは、Browser-in-the-Browser 手法を使用して、300,000 ドル相当の有名な Steam アカウントにアクセスすることができました。新しいハックのしくみと、安全を確保する方法を次に示します。

偽のログイン Web サイトを介してユーザーの資格情報を盗む新しい Steam ハッキング。
グループ IB

この新しいフィッシング攻撃は、ハッカーが Steam ユーザーに連絡を取り、アカウントを盗もうとすることで実行されています。一部のフィッシング攻撃は非常に簡単に見つけることができますが、この場合、すべてが合法であるように見え、ハッカーが Steam アカウントを簡単に制御できるようになるだけです.

ハッカーは、Steam を介して潜在的な被害者にメッセージを送信し、Counter-Strike、Dota 2、League of Legends、Rocket League、PUBG、またはその他の人気のある e スポーツ タイトルのゲームに参加するよう依頼します。ユーザーが同意しない場合でも、ハッカーは自分のチームに投票し、e スポーツ組織のように見える Web サイトへのリンクを提供するよう要求します。

この Web サイトは非常によくできています。似たようなページを以前に見たことがあるはずです。 27 の言語をサポートし、ブラウザーの設定から正しい言語を検出します。

チームに参加してトーナメントまたは親善試合に参加するために、ユーザーは自分の Steam アカウントからログインし、ユーザー名、パスワード、および 2 要素認証を有効にしている場合は認証コードを入力する必要があります。

ただし、1 つ問題があります。ログイン ページは、実際のブラウザ ウィンドウではありません。代わりに、現在のページに埋め込まれた偽のウィンドウです。このフィッシング キットを使用すると、通常のポップアップによく似た偽のウィンドウをドラッグしたり、最小化したり、最大化したりできます。

ユーザーが資格情報を入力してログインに成功すると、正規のように見えるアドレスにリダイレクトされます。これは、ログイン情報が攻撃者に送信されている間にハッカーに勝つために行われます。その後、攻撃者は被害者の電子メール アドレスとパスワードをすばやく変更し、アカウントの回復を困難にします。

身を守る方法

PC の上に置かれた Steam デッキ。
ジェイコブ・ローチ/デジタルトレンド

過去に多くの人が同様の詐欺の被害に遭いましたが、現在は再び増加しており、検出がさらに困難になっているため、注意してアカウントのセキュリティを自分の手に委ねることをお勧めします.

Group-IBが報告しているように、この手法は機能するために JavaScript (JS) に依存しています。 JS スクリプトをブロックすると十分に保護されますが、私たちのほとんどはそうしたくありません。人気のある Web サイトの多くは JS を使用しているため、ユーザー エクスペリエンス全体に影響を与えます。

代わりに、知らない人や知っている人から受け取ったリンクには注意してください。 Discord と Steam のアカウントはハッキングされることが多いため、リンク付きのメッセージを受信すると、友人からであっても疑わしい場合があります。送信されたリンクをたどる前に、実際に友達と話していることを確認してください。その人が見知らぬ人である場合は、気にせずにブロックしてください.