Эксперты «Лаборатории Касперского» подготовили отчет, который свидетельствует о том, что с июня текущего года на пользователей Steam участились детально проработанные и качественно реализованные фишинговые атаки.
Исследователи пишут, что сервисы цифровой дистрибуции игр давно представляют интерес для мошенников. Как правило, они пытаются заполучить учетные данные пользователя, чтобы «раздеть» персонажей жертвы и затем продать полученные предметы за вполне реальные деньги. Одним из наиболее популярных у пользователей (и, соответственно, у злоумышленников) сервисов по-прежнему является Steam.
Злоумышленники завлекают пользователей на сайты, имитирующие или копирующие настоящие онлайн- магазины — в данном случае связанные со Steam, — где можно приобрести предметы для игр. Такие ресурсы выглядят очень качественно, и заподозрить подделку довольно сложно, а в некоторых случаях копию вообще практически невозможно отличить от оригинала.
Мошенники не заинтересованы в том, чтобы пользователь провел на таком сайте много времени — рано или поздно он может обнаружить, что сайт поддельный. Поэтому «к сути» фишинговые сайты переходят очень быстро: стоит пользователю щелкнуть по любой ссылке, как перед ним появляется окно для ввода логина и пароля от его аккаунта в Steam. Сам по себе этот пункт подозрений может и не вызвать: практика использования учетной записи одного сервиса для авторизации на другом довольно распространена (регистрация в веб-сервисах через социальные сети, авторизация Google и так далее), и Steam тоже позволяет использовать учетную запись для авторизации на сторонних ресурсах. Тем более торговой площадке необходим доступ к аккаунту пользователя для получения данных о предметах, которые есть у него в наличии.
Поддельное окно для ввода логина и пароля очень похоже на настоящее: в адресной строке указан правильный URL социального портала сети Steam, используется адаптивная верстка, а если открыть ссылку в другом браузере, с другим языком интерфейса, — в соответствии с новой «локалью» изменится и содержимое поддельной страницы, и ее заголовок.
Но стоит щелкнуть правой кнопкой мыши по заголовку этого окна (или по элементам управления), как перед нами появится стандартное для веб-страниц контекстное меню. Если выбрать в нем пункт «просмотр кода», становится понятно, что окно — подделка, реализованная средствами HTML и CSS:
Правдоподобности поддельной форме авторизации добавляет и тот факт, что введенные данные проверяются с помощью оригинальных сервисов: при вводе неправильных логина и пароля пользователю будет сообщено об ошибке.
После ввода действительных логина и пароля будет запрошен код двухфакторной авторизации, который приходит по электронной почте или генерируется в приложении Steam Guard. Очевидно, что введенный код также будет отправлен мошенникам, которые в результате получат полный контроль над аккаунтом.
Помимо «сложного» подхода с созданием окна авторизации средствами HTML и CSS, злоумышленники не забывают и о старых добрых приемах, когда поддельная форма открывается в отдельном окне, но с пустым значением адреса. Несмотря на другой метод отображения окна, принцип его работы аналогичен описанным выше примерам: форма проверяет правильность ввода данных, и если пароль и логин подходят, запрашивает код двухфакторной авторизации.
