Злоумышленники устроили масштабную кампанию по угону аккаунтов российских геймеров. Аналитики из компании F6 обнаружили как минимум 20 фишинговых сайтов, которые обещают подарочные карты на сумму от 5 до 50 долларов США и бесплатные скины для популярных игр. Сайты маскируются под Steam и Twitch и выманивают у пользователей учетные данные.
Мошенники размещают свои ловушки на YouTube, TikTok и других видеохостингах. Они публикуют короткое видео, где показывают фишинговый ресурс с ложной информацией о раздаче подарочных карт Steam. Ссылку на фишинговый сайт размещают в описании профиля канала. Также в отдельных роликах на YouTube показывают ссылки на Telegram-канал, через который тоже распространяются мошеннические URL.
По словам исследователей, фишинговые страницы созданы по единому шаблону, но эксплуатируют разные поводы — «зимний марафон подарков», годовщину Steam или новогодние акции. Главное, что такие страницы выглядят как легитимные: поддельный адрес steamcommunity.com вшит прямо в макет страницы, а настоящий домен можно заметить только в адресной строке браузера. Если присмотреться, можно заметить, что на странице две адресные строки — верхняя настоящая, а нижняя фейковая.
После ввода логина и пароля от учетной записи Steam на такой странице данные передаются хакерам.
Второй популярный сценарий атак — фейковые раздачи скинов для CS2 и Rust якобы через Twitch. В этой схеме преступники используют одноразовые ссылки, которые работают только при первом переходе. Если попытаться открыть ту же ссылку на другом устройстве или отправить кому-то как доказательство фишинга, другой человек увидит только пустую страницу.
«Если пользователь попытается открыть страницу на другом устройстве или передаст ссылку кому-то еще — например, как доказательство фишинга, — то доступ к контенту будет закрыт. Это позволяет мошенникам продлить срок жизни фишинговых ресурсов, так как регуляторы не смогут открыть конечный контент и получить основания для блокировки», — пояснил Александр Сапов, старший аналитик второй линии CERT департамента Digital Risk Protection компании F6.
Фишинговые сайты маскируются под Twitch и предлагают ввести промокод, а потом авторизоваться через Steam. После клика по такой кнопке пользователя переадресует на поддельную страницу авторизации.
Как предполагают эксперты, такие фишинговые ссылки распространяют прямо в чатах во время трансляций CS2 и Rust под видом Twitch Drops (официальные подарки от платформы за просмотр стримов). Модерация Twitch удаляет такие сообщения, но не мгновенно — и за это время часть зрителей успевает попасться на удочку мошенников.
Отмечается, что все фишинговые ресурсы в сценарии с Twitch нацелены именно на российских пользователей. Первичный шаблон сайта сделан на английском языке, однако все формы для ввода данных сверстаны на русском.
Исследователи напоминают, что аккаунты в Steam — лакомый кусок для хакеров. К учетным записям привязаны купленные игры, достижения и инвентарь с игровыми предметами. Приоритетная цель злоумышленников — инвентарь, так как виртуальные предметы можно продать на сторонних площадках за реальные деньги.
Кроме того, взломанные аккаунты часто используются для продолжения атак — через них рассылают фишинговые ссылки друзьям взломанного пользователя. Ведь когда сообщение приходит от знакомого, доверие к нему выше, и шансы на успех атаки возрастают.
В настоящее время часть обнаруженных фишинговых доменов, зарегистрированных в зоне .RU, уже заблокированы. Остальные находятся в доменных зонах .PW, .CC, .COM, .PRO и .WORLD, но специалисты уже добиваются их блокировки.
