0
0
Os invasores têm como alvo os usuários da popular plataforma de jogos online Steam usando uma tática de phishing emergente que implanta janelas de navegador falsas de aparência autêntica para roubar credenciais e assumir contas. A campanha generalizada é um sinal para as empresas de que a nova técnica deve estar nos radares de segurança daqui para frente.
Apelidada de “navegador no navegador “, a abordagem de phishing inteligente foi detectada pela primeira vez cerca de sete meses atrás por um pesquisador que atende pelo nome de “mr.d0x”.
A técnica envolve abrir uma janela pop-up ou uma nova guia que se parece com qualquer outra janela do navegador. No entanto, esta janela é na verdade uma página de phishing que rouba credenciais, neste caso permitindo que os invasores fraudem os jogadores no Steam (que tem mais de 120 milhões de usuários) em potencialmente milhares de dólares, segundo pesquisadores do Group-IB.
Browser-in-Brower: uma nova ameaça
Embora segmentar usuários do Steam não seja uma tática nova, usar um método de navegador no navegador é – e é por isso que esta campanha recente está tendo sucesso onde outras não tiveram, Ivan Lebedev do Group-IB, chefe de anti-phishing do CERT-GIB e grupo de cooperação global, e Dmitry Eroshev, analista do CERT-GIB, escreveu em um post recente no blog .
“Os fraudadores têm criado centenas de recursos de phishing disfarçados de Steam há mais de 20 anos, mas a maioria desses sites parecia mal feita e os usuários facilmente identificaram uma farsa”, escreveram.
De fato, o phishing existe há tanto tempo que a maioria das pessoas que navegam na Web está ciente disso, o que forçou os invasores a serem mais criativos e experientes na forma como enganam os usuários para que caiam em sua isca – daí o surgimento de novas técnicas que tornam as páginas de phishing mais difíceis para manchar.
Uma coisa que permite que os invasores tenham sucesso com o phishing do navegador no navegador na plataforma Steam é que ele usa uma janela pop-up para autenticação do usuário em vez de abrir uma nova guia, disseram os pesquisadores.
“A autenticação do usuário em uma janela pop-up em vez de uma nova guia está se tornando cada vez mais popular em sites e plataformas legítimos, incluindo o Steam”, escreveram os pesquisadores. “Este método atende às expectativas dos usuários e, portanto, é menos provável que levante suspeitas”.
Embora as novas contas de usuário sejam de valor mínimo, na casa das dezenas de dólares, o Steam pode ser um alvo lucrativo para os invasores se eles conseguirem assumir a conta de um jogador líder, que pode valer entre US$ 100.000 e US$ 300.000, disseram eles.
Como funciona
O phishing do navegador no navegador começa de forma semelhante a uma campanha de phishing típica, com uma mensagem maliciosa que contém algum tipo de oferta.
No caso da campanha do Steam, os invasores enviam uma mensagem a um usuário do Steam solicitando que ele participe de um time para um torneio dentro da plataforma, vote no time favorito do usuário ou compre ingressos com desconto para eventos de esportes cibernéticos, entre outros. iscas, disseram os pesquisadores.
Os pesquisadores também viram ataques que atraíram os espectadores de um vídeo de jogo popular – que é um fluxo gravado – dando-lhes a opção de visitar outro recurso para receber uma skin gratuita no jogo. Essa isca mostra um anúncio redirecionando os usuários para o site de phishing tanto na tela quanto na descrição do vídeo.
Clicar em quase qualquer botão em uma das páginas da isca abre um formulário de entrada de dados da conta que imita uma janela legítima do Steam, disseram os pesquisadores. Para parecer autêntico, a página inclui um sinal de cadeado verde falso, um campo de URL falso que pode ser copiado e até uma janela adicional do Steam Guard para autenticação de dois fatores, disseram eles.
Principais diferenças do phishing tradicional
Existem várias diferenças entre as campanhas de phishing típicas e os métodos de navegador no navegador que tornam a nova técnica mais eficaz. Um dos principais é como a página de phishing é aberta quando um usuário morde a isca e clica em um link ou botão, disseram os pesquisadores.
Em uma campanha de phishing típica, um usuário é redirecionado para uma nova guia ou site para exibir o formulário de entrada de dados de phishing. Em campanhas de navegador no navegador; no entanto, a página que levanta as credenciais do usuário é aberta na mesma guia da página original em vez de em uma nova guia, o que ajuda a aumentar sua legitimidade.
Outros aspectos que dão mais credibilidade à página de phishing é que o URL na barra de endereço é idêntico ao legítimo, em vez de exibir um URL diferente, que um usuário pode facilmente identificar como falso. A janela falsa em uma campanha de navegador no navegador também exibe um símbolo de bloqueio de certificado SSL, que dá confiança ao usuário, disseram os pesquisadores.
Além disso, apesar da janela ser falsa, ela funciona muito como uma página da web típica. Os botões “minimizar” e “fechar” funcionam corretamente, e a janela pode ser movida pela tela como as reais, disseram eles.
Tudo isso dito, existem alguns brindes que a página é falsa. Por exemplo, o tamanho da página é limitado às janelas do navegador, ou seja, ela não pode ser movida além da janela do navegador, como as páginas reais. No entanto, a maioria dos usuários não percebe essa limitação, observaram os pesquisadores.
Se um usuário for enganado pela página da Web falsa e passar a inserir dados, os dados serão enviados imediatamente aos agentes de ameaças e inseridos em uma página de login legítima para que eles possam assumir o controle da conta. As vítimas ainda veem uma mensagem de erro se inserirem suas informações incorretamente, como fariam com um login legítimo em suas contas, observaram os pesquisadores.
A página falsa ainda aciona a autenticação de dois fatores se uma vítima a habilitar, retornando uma solicitação de código, disseram os pesquisadores. Os invasores gerenciam isso criando o código usando um aplicativo separado, que envia uma notificação por push ao dispositivo do usuário.
Detectando páginas falsas
Há várias maneiras pelas quais os usuários da Web podem identificar se estão sendo atraídos por invasores usando uma técnica de navegador no navegador.
Como mencionado anteriormente, tentar redimensionar a janela é uma oferta inoperante de uma campanha de phishing do navegador no navegador, pois uma janela não será redimensionada se for falsa, disseram os pesquisadores. “Nesses casos, você também não poderá maximizá-lo usando o botão correspondente no cabeçalho”, escreveram eles.
Os usuários também podem tentar mover a janela para detectar uma falsificação, pois não poderão mover uma janela de phishing. Além disso, se eles tentarem minimizar a janela e ela fechar, isso também pode indicar uma página falsa, disseram os pesquisadores.
Outra maneira de identificar uma falsificação é comparar o design do cabeçalho e a barra de endereço da janela pop-up, pois em alguns navegadores, uma página falsa pode parecer diferente de uma real, disseram eles. Os usuários devem prestar atenção especial às fontes e ao design dos botões de controle.
As pessoas também podem verificar se uma nova janela foi aberta em sua barra de tarefas quando veem uma nova guia de credencial aberta que parece autêntica. Caso contrário, a janela do navegador provavelmente é falsa, disseram os pesquisadores.
Finalmente, um usuário pode verificar se a barra de endereço de uma nova guia que aparece é realmente funcional e permite digitar uma URL diferente. Se não, eles disseram, a janela é falsa.
FONTE: DARK READING