Eine neue Browser-in-Browser-Angriffstechnik wird von Hackern verwendet, um Anmeldeinformationen für Steam-Gaming-Konten zu stehlen, wodurch Millionen von Benutzern gefährdet werden.
Der neue Browser-in-Browser-Exploit nutzt Phishing, um Daten zu stehlen
Steam-Benutzer laufen jetzt Gefahr, Ziel einer neuen Art von Browser-in-Browser-Angriffen zu werden, die Phishing verwenden, um Daten zu stehlen. Dieser Exploit, der erst 2022 entdeckt wurde, beinhaltet die Verwendung gefälschter Anmeldefenster, um Benutzer glauben zu machen, dass sie sich bei ihrem offiziellen Steam-Konto anmelden. Wie es oft bei Phishing der Fall ist, ist diese Webseite bösartig und kann verwendet werden, um Benutzeranmeldeinformationen zu stehlen, um auf ihre Konten zuzugreifen.
Phishing ist eine sehr beliebte Datendiebstahl-Taktik, die von Cyberkriminellen auf der ganzen Welt verwendet wird, mit dieser neueren Exploit wird auch verwendet, um andere Dienste wie Google nachzuahmen, um private Informationen zu stehlen die Opfer. Aber professionelle Spieler sind das Hauptziel dieses speziellen Betrugs.
Anbieter von Cybersicherheitslösungen Group-IB heißt es in einem Blogbeitrag dass Angreifer sie darum bitten, um Opfer anzulocken Melden Sie sich bei Steam an um „einem Team für ein LoL-, CS-, Dota 2- oder PUBG-Turnier beizutreten, für [ihr] Lieblingsteam zu stimmen, ermäßigte Tickets für Cybersport-Events zu kaufen und vieles mehr“. Solche überzeugenden Elemente sind bei Phishing-Betrug keine Seltenheit.
Gefälschte Anmeldeseiten sind besorgniserregend überzeugend
Bei diesem Angriff erstellen Betrüger gefälschte Anmeldeseiten, die fast identisch mit dem Original sind, was es für den durchschnittlichen Benutzer schwierig macht, den Betrug aufzuspüren. Group-IB gab in dem oben genannten Blogbeitrag an, dass diese gefälschten Steam-Seiten „ein gefälschtes grünes Schlosszeichen, a gefälschtes URL-Feld, das kopiert werden kann, und sogar ein zusätzliches Steam Guard-Fenster für die Zwei-Faktor-Authentifizierung". Diese gefälschten Seiten können sogar in mehreren Sprachen angezeigt werden.
Der Angreifer fügt häufig den Link zu einer gefälschten Gaming-Turnier-Website in seine Nachricht an das Ziel ein, die dann zur Schein-Steam-Anmeldeseite führt. Die Raffinesse dieses Betrugs macht ihn besonders gefährlich für diejenigen, die nicht wissen, worauf sie bei der Überprüfung achten müssen eine Website ist bösartig.
Virtuelle Vermögenswerte und Zahlungsdetails sind gefährdet
Wenn der böswillige Angreifer Zugriff auf das Konto des Opfers erhält, ändert er die Anmeldeinformationen, sodass das Opfer nicht sofort darauf zugreifen kann. Bis das Opfer sein Konto wiedererlangt, ist es wahrscheinlich, dass die meisten, wenn nicht alle seiner wertvollen virtuellen Vermögenswerte verschwunden sind.
Darüber hinaus besteht für das Opfer das Risiko, dass seine Zahlungskartendaten ausgenutzt werden, wenn es diese auf seinem Konto angegeben hat. Diese Art von Informationen kann auf Dark-Web-Marktplätzen sehr wertvoll sein und wird oft mit Gewinn an andere böswillige Personen verkauft.
Phishing wird immer häufiger
Da die Branche der Cyberkriminalität wächst, werden immer mehr Arten von Phishing-Angriffen gegen ahnungslose Opfer gestartet, seien es Einzelpersonen oder ganze Organisationen. Aus diesem Grund ist ein hohes Maß an Datenschutz für Geräte und Konten in unserer heutigen Zeit so wichtig.