Les utilisateurs de Steam sont ciblés par des cybercriminels qui cherchent à voler des comptes, selon un nouveau rapport de Group-IB.
Les experts ont découvert un groupe de pirates utilisant un kit de phishing insaisissable pour tenter d’inciter les joueurs à donner leurs identifiants de connexion Steam, et une fois qu’ils le feront, les escrocs essaieront de vendre leurs comptes sur le marché noir.
Les vols pourraient être plutôt lucratifs, certains des comptes les plus en vue se vendant entre 100 000 et 300 000 dollars chacun.
Le groupe se rassemble soit sur Discord, soit sur Telegram et utilise un kit de phishing capable d’attaques « navigateur dans navigateur », ce qui n’est pas aussi largement répandu parmi la communauté cybercriminelle que certains autres outils.
Ce qu’ils vont faire, c’est essayer de contacter les joueurs professionnels sur Steam et les inviter à un tournoi pour l’un des titres les plus populaires, tels que League of Legends, Counter-Strike, Dota 2 ou PUBG. L’invitation contiendra un lien, qui amènera la victime vers un site Web qui semble appartenir à une organisation parrainant et hébergeant des tournois d’esports.
Pour s’inscrire au tournoi, les victimes seront invitées à se connecter à leur compte Steam, qui ressemblera à une page contextuelle de connexion normale. Cependant, cette page de connexion n’est pas une fenêtre contextuelle du navigateur, mais plutôt une fausse fenêtre entière, créée dans la page actuelle. Cela rend extrêmement difficile pour la victime de repérer qu’elle est attaquée, en particulier parce que le lien dans la barre de recherche semblera légitime.
Après avoir saisi leurs informations d’identification, les cibles seront également invitées à fournir leur code 2FA, et si elles ne fournissent pas le bon, le site Web affichera un message d’erreur. S’ils fournissent le bon code, cependant, ils seront redirigés vers une URL légitime, masquant davantage le vol. (s’ouvre dans un nouvel onglet).
De manière générale, la meilleure façon de se défendre contre ces types d’attaques est de bloquer JavaScript, mais étant donné qu’une mesure aussi agressive casserait de nombreux sites Web populaires, elle ne peut être recommandée. Au lieu de cela, les joueurs sont invités à être extrêmement vigilants lorsqu’ils reçoivent des liens n’importe où, Discord et Telegram inclus.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)