Σύμφωνα με ένα tweet του ερευνητή ασφαλείας nullcookies, έχει δημιουργηθεί ένα ψεύτικο site Steam, το οποίο υποτίθεται ότι προσφέρει skins μέσω giveaways. Στην πραγματικότητα, το site κλέβει τα login credentials των θυμάτων.
Το phishing site ανακαλύφθηκε από τον ερευνητή nullcookies.
Αυτά τα phishing Steam sites εμφανίζονται συνήθως απευθείας στο Steam. Οι hackers εμφανίζουν μηνύματα στα Steam προφίλ, τα οποία λένε: “Αγαπητέ νικητή! Το SteamID σας έχει επιλεγεί ως νικητής του εβδομαδιαίου giveaway. Πάρε το Karambit | Doppler στο giveavvay.com”.
Εάν ο χρήστης ανοίξει το σύνδεσμο, θα οδηγηθεί σε ένα site το οποίο τον ενημερώνει για το δώρο του. Το phishing site διαθέτει, επίσης, μια ψεύτικη οθόνη για chat στην αριστερή πλευρά της σελίδας.
Για να αποκτήσει ο χρήστης τα δωρεάν skins, θα πρέπει να συνδεθεί στο site χρησιμοποιώντας τα Steam credentials του. Στη συνέχεια, θα πρέπει να περιμένει να εμφανιστούν οι λέξεις “SKIN RAIN” στο chat. Όταν εμφανιστούν οι λέξεις, το site λέει στο χρήστη να κάνει κλικ στις λέξεις, για να μπορέσει να λάβει ένα από τα δωρεάν skins.
Στο μεταξύ, τα chat μηνύματα που εμφανίζονται στο site είναι επίσης ψεύτικα. Δεν προέρχονται από πραγματικούς επισκέπτες. Αντίθετα, οι hackers χρησιμοποιούν ένα JavaScript script, το οποίο περιέχει διάφορες φράσεις που επιλέγονται τυχαία και εισάγονται στη συζήτηση, ώστε να φαίνεται σαν μια φυσιολογική συζήτηση.
Εάν ένας χρήστης πέσει στην παγίδα και κάνει κλικ στο “Sign in via Steam”, θα μεταφερθεί σε μια υποτιθέμενη φόρμα σύνδεσης του Steam, η οποία στην πραγματικότητα είναι ψεύτικη. Οι χρήστες δεν μπορούν να αντιληφθούν την απάτη γιατί η σελίδα μοιάζει πολύ με την επίσημη σελίδα του Steam. Έτσι βάζουν τα credentials τους και αυτά μεταφέρονται στους hackers.
Με αυτόν τον τρόπο, οι hackers αποκτούν πρόσβαση στα credentials του θύματος, εισβάλλουν στον λογαριασμό Steam και είναι σε θέση να εκτελέσουν διάφορες κακόβουλες δραστηριότητες.
Το θετικό στοιχείο είναι ότι το phishing site φιλοξενείται στο Cloudflare και αυτό σημαίνει ότι οι χρήστες θα λάβουν μια ειδοποίηση, αν προσπαθήσουν να αποκτήσουν πρόσβαση στο phishing site.
Οι χρήστες θα πρέπει να αποφεύγουν τη σύνδεση στο site από άγνωστες πηγές. Θα πρέπει να συνδέονται απευθείας από το steampowered.com domain, για να είναι σίγουροι ότι τα credentials δεν θα καταλήξουν σε απατεώνες.
