Steam Phishing Kampaniyası CS: GO Skin Gambling Lure istifadə edir

Təcavüzkarlar, hesab girişləri ilə birlikdə üçüncü tərəfə tez bir zamanda sata bildikləri üçün onlayn oyun hesablarını mütəmadi olaraq hədəfə alırlar. Bu ssenari illərdir inkişaf edir və Runescape -dən Fortnite -ə qədər artan populyar onlayn oyunlara təsir etdi.

Bu oyunlar öz müştəriləri üzərində işləyir - belə ki, giriş oğurlamaq təcavüzkara yalnız həmin oyuna (bəzən bir neçə başqasına) giriş imkanı verəcək. Daha geniş giriş əldə etmək üçün təcavüzkarlar Steam və ya Origin kimi rəqəmsal paylama müştərilərini hədəf seçirlər. Bu müştərilər, birdən çox oyunun bir hesab altında idarə olunmasına imkan verir və on milyonlarla oyunçu ilə öyünən Counter-Strike: Global Offensive( CSGO) kimi məşhur oyunları da əhatə edir .

Böyük bir oyunçu bazası, hesablara və əlaqəli əşyalara daha çox tələbatın olacağını bildirir - nəticədə pis oyunçular üçün daha cəlbedici olur, çünki maraqlı alıcılar üçün çox gözləmək lazım olmayacaq. Təcavüzkarın oğurlanmış hesaba nə qədər çox "oturması" lazım olarsa, sahibinin yenidən giriş əldə etmək və təcavüzkarın ondan istifadə etməsinin qarşısını almaq şansı daha yüksəkdir.

İnternetdə satılan yeni CS: GO Prime hesabının aktiv siyahısı

CS: GO Dəri Qumar Fişinq Cazibəsi

Bu phishing səhifəsi əvvəlcə bizə labs@sucuri.net vasitəsilə bildirildi. Araşdırma zamanı, bu yaxınlarda qeydiyyatdan keçmiş (2020-03-10) csgo500 [.] Orgdomeni altında qurulduğunu gördük.

Göründüyü kimi, bu sahə , istifadəçilərə platformada CS: GO maddələrində qumar oynamaq imkanı verən csgo500 [.] Comqurbanı saytını təqlid etmək üçün qəsdən seçilmişdi-bu xüsusiyyət ümumiyyətlə dəri qumarı olaraq adlandırılır.

Diqqət çəkənbir maraqlı məqam, bu phishing kampaniyası tərəfindən təqlid edilən orijinal domenin ( csgo500 [.] Com) coğrafi bloklamanın aktiv olmasıdır və ABŞ -dan gələn istəklər üçün girişə icazə vermir. Hollandiya, Curaçao, Fransa və ya onlayn qumarın qadağan edildiyi hər hansı bir ölkədən girişi də maneə törədir.

Digər tərəfdən, phsing csgo500 [.] Orgveb saytıbu coğrafi bloklamanı təqlid etmir və bu ölkələrin istəklərinə icazə verir.

İstifadəçi qumar oynamadan əvvəl, Steam hesabından oyun içindəki əşyaları (dəriləri) köçürərək (ya da ən azından mövcudluğunu təsdiq edərək) hesabını "maliyyələşdirməlidir". Bunun üçün istifadəçinin Steam hesabına daxil olması lazımdır. Bu ümumiyyətlə istifadəçini Steam veb saytına yönləndirməklə edilir, istifadəçi normal olaraq təsdiq edir və sonra orijinal veb saytına yönləndirir.

"Fortune Wheel" CS: GO csgo500 [.] Com saytında dəri qumar bahis oyunu GO csgo500 [.] Orgdakıphishing səhifəsi bu identifikasiya prosesini fərqli, daha aldadıcı bir şəkildə idarə edir.

Fişinq Davranışı

Əsas qırmızı bayraqlardan biri, zərərli csgo500 [.] Orgdomenində tapılan phishing səhifəsinin davranışıdır ki, bu da təcavüzkarların şübhəsiz qurbanlardan istifadəçi məlumatlarını toplamasınaimkan verir.

Bir istifadəçi klik zaman Daxil oldüyməsinə aşağıdakı göründüyü kimi yeni Chrome brauzer Parodiyalar, rəsmi Steam giriş yüklemek üçün ki, phishing site spawns bir iframe.

Qurban Steam hesabının istifadəçi adı və şifrəsini daxil etdikdə və məlumatları POSTsorğusu ilə təqdim etdikdə, zərərli csgo500 [.] Orgdomeni orijinal Steam veb saytına göndərməzdən əvvəl giriş məlumatlarını ələ keçirir.

Etimadnamə Doğrulama və Doğrulama Yoxlamaları

Saxta giriş səhifəsinə etibarlı bir Steam hesabı istifadəçi adı və şifrəsi daxil edilərsə, təcavüzkarlar qurbanı əsl csgo500 [.] Comveb saytına yönləndirməzdən əvvəl giriş məlumatlarını tez bir zamanda yoxlayırlar.

Bu istəkləri bir brauzerin inkişaf etdirici vasitələrində görmədiyiniz halda, bu zərərli davranışı aşkar etmək çətin ola bilər. Ancaq şübhəli olduğunu göstərən bəzi əlamətlər hələ də var.

  1. Yeni iframe'i istifadə olunan brauzerdən asılı olmayaraq bir Chrome pəncərəsi olaraq göstərməyə çalışacaq, buna görə də Chrome -dan istifadə etmirsinizsə, bir Chrome pəncərəsi öz -özünə açılmamalıdır.
  2. Saxta Chrome pəncərəsi üçün iframe normal bir brauzer pəncərəsi kimi işləmir. Ünvan çubuğu və ya SSL çubuğu kimi şeyləri vura bilməzsiniz.

Test edərkən phishing səhifəsinin göndərdiyi POSTtələbinin bir nümunəsi . Bunun birbaşa Steam veb serverinə deyil, csgo500 [.] Org/checkData'yagöndərildiyini görə bilərsiniz .

Buxarda kimliyi təsdiq etməyin doğru yolu deyil. Açıq mətn giriş məlumatlarını ehtiva edən poçt sorğuları üçüncü tərəflərə göndərilməməlidir - zərərli sahə qurbanların təqdim etdiyi hər hansı bir giriş məlumatını aldatmaq üçün həqiqətən belə bir şəkildə qurulmuşdur.

Bunun əksinə olaraq, qanuni csgo500 [.] Comdomeni düzgün inkişaf təcrübələrini izləyir və istifadəçiləri autentifikasiya üçün Steam veb saytına yönləndirir. Zaman POSTvə onu oğurlamaq bilər ki, bir üçüncü tərəf - tələb giriş zamanı təqdim, müvafiq Buxar identifikasiyası server göndərilir.

Steam giriş URL'sinə yönləndirmə - iframe hiyləsi yoxdur

Nəticə

Fişinq kampaniyasını aşkar etmək çətin ola bilər. İstər ziyarətçi, istərsə də veb sayt sahibi olsanız da, pis aktyorların qollarını açmaq üçün bir çox ağıllı hiylələri var. Bu kampaniyadan gördüyümüz kimi, təcavüzkarlar bir domeni, iki veb saytı və bir Google Chrome açılan pəncərəsini uğurla təqlid edə bilərlər.

Bu, xüsusilə saxtakarlıqla təqlid edilə bilən veb sayt sahibləri üçün aiddir. Belə bir nümunədə, zərərli domen və veb saytı başqa yerdə yerləşdirilir. Zərərli bir phishing veb saytının markanızı təqlid etdiyini ən yaxşı şəkildə müəyyən etmək üçün çox güman ki, bir növ marka izləmə sistemi qurmalısınız. Bu, təqlid phishing kampaniyaları ilə saytınızı ləkələnməkdən qorumağa kömək edə bilər.