Utilizadores da loja online de jogos Steam estão a ser alvo de uma nova campanha de phishing que funciona através de uma técnica denominada ‘browser-in-browser’. Até agora os visados têm sido jogadores profissionais, utilizadores de jogos de competição e também jogadores com contas valiosas.
Os ataques foram denunciados pelo Group-IB, usam uma técnica chamada ‘browser-in-browser’, para que o phishing pareça uma mensagem genuína. O processo começa quando o alvo recebe uma mensagem directa com um convite para participar num torneio de jogos como League of Legends, Counter-Strike, Dota 2 ou PUBG.
A mensagem, obviamente, não é verdadeira. O remetente inclui um link para um site com aspecto profissional, do que parece ser uma empresa ligada à organização e promoção de torneios de e-sports e outras competições. Quando se pede a inscrição na plataforma, aparece o pop-up de login na Steam. Esta janela é igual à real. Até permite escolher de entre os 27 idiomas suportados pela Steam, tem certificado SSL, um URL legítimo e uma opção para criar uma conta. Até é possível mover a janela no ecrã, redimensioná-la e maximizá-la.
Mas não se trata de uma janela de login real que aparece por cima do site. É uma janela falsa criada a partir da página. Depois de a vítima inserir as credenciais de login, é transportada para um formulário Steam Guard que pede o código de autenticação de dois factores (2FA), se esta funcionalidade estiver ligada.
Mesmo que o utilizador comece a suspeita de qualquer coisa, já é tarde, porque o criminoso já está na posse das credenciais, e pode roubar o que quiser da conta ou fazer o que quiser com ela.
Um método para não ser enganado por esta técnica de phishing é utiliza uma extensão que bloqueia a execução de JavaScript. Mas estas extensões podem fazer com que vários sites ddeixem de funcionar como deve ser.
Outra técnica é nunca clicar em links enviados por estranhos.