Pertama, penyelidik permainan video menemui teknik pancingan data "inovatif" (spoofing) yang melakukan pekerjaan yang sangat baik untuk menutup niat penipu.
Sebagai salah satu platform pengedaran digital terbesar di dunia untuk permainan video, Steam menampilkan pelbagai elemen UX komuniti, seperti senarai rakan dan kemampuan untuk menukar barang permainan dengan pengguna lain.
Walaupun fokus yang kuat ini kepada masyarakat telah membantu Steam menonjol di pasaran yang semakin sesak, ia juga membiarkan pengguna terbuka terhadap amalan menipu.
Keperluan untuk pengawasan di platform kembali diperingatkan pada hujung minggu, ketika Seorang pelajar sains komputer berusia 22 tahun dengan nama 'Aurum' memberikan perincian mengenai penipuan pancingan data baru untuk Steam.
Laman web untuk mencuri akaun Steam
Menurut penyelidik, laman web pancingan data bukan sahaja cuba memperbodohkan pengguna dengan sijil SSL yang sah, tetapi juga sebahagian kecil JavaScript yang akan menghasilkan tetingkap pop-up yang menyatakan bahawa pelayan banyak dimuat dan meminta mangsa log masuk dengan akaun Steam mereka. untuk akses ke laman web ini.
Dalam kata-kata Aurum dia menjelaskan bagaimana dia menyedarinya:
"Sembang itu nampaknya mudah, penipu itu ingin memberi saya perdagangan yang jelas menguntungkan (mereka terus berusaha membuat saya menambahkannya ke Discord untuk beberapa sebab).
Menjelang akhir perbincangan "perdagangan", saya diminta untuk melayari laman web harga Steam yang mudah supaya mereka dapat mengetahui berapa harga barang saya.
Laman web pancingan data, https://tradeit.cash. Laman web pada dasarnya adalah salinan laman web Steam yang sah, https://skins.cash. "
Walaupun penipu membuat pop timbul yang sah, Aurum mendapati bahawa ia tidak menghasilkan dua kejadian Chrome di bar tugas, dan itu "hanya satu tetingkap dalam laman web pancingan data."
"Mereka bahkan membuat beberapa butang untuk elemen Chrome UI," katanya. "Ini disahkan ketika cuba mengklik kanan di bahagian bar tajuk pada tetingkap pop-up, yang membuka menu konteks klik kanan dari laman web."
Penggodam meluangkan masa dan "merepotkan" untuk menjadi tuan rumah laman web pancingan data mereka di CloudFare dan bahkan memilih untuk menggunakan sijil CloudFare SSL untuk menjadikannya sepercaya mungkin.
Pancingan data dimulakan dengan pop timbul yang meminta anda memasuki Steam, dengan mendakwa bahawa laman web "pancingan data" terlalu banyak.
Mengenai laman web palsu
Laman web Steam Phishing menggunakan teknik phishing gambar-dalam-gambar untuk mensimulasikan skrin masuk OpenID tanpa kegagalan.
Aurum merasakan ada yang tidak kena, kerana laman web yang dia percayai palsu sejak awal lagi membuka pop timbul log masuk OpenID Steam.
Serangan seperti ini tentunya bukan perkara baru. Teknik serupa telah dijelaskan dalam dokumen ini sejak 2007.
Steam sudah termasuk panduan terperinci yang bertujuan untuk membantu pengguna menyimpan akaun mereka dengan selamat.
Laman web ini kini di luar talian Nah, rekod DNS telah dikeluarkan kira-kira beberapa jam yang lalu.
Tetapi pengguna mendapat snapshot laman web dan semua kod sebelum dikeluarkan, dan dengan bebas membagikannya di GitHub. Pautan ini.
Ini kod yang cukup mudah, pada akhirnya.
Penggodam menyalin laman perdagangan yang sah serta halaman log masuk Komuniti Steam, kemudian menambahkan kod JavaScript pada kedua-duanya, dan juga sedikit demi sedikit mengubah HTML.
Secara keseluruhan, tiga coretan JS ditambahkan: yang pertama dikesan debug (bit yang menemui poster blog asal), yang kedua membuka penyemak imbas palsu dan menampal halaman masuk palsu di dalam iframe, dan yang ketiga (yang berjalan di iframe) mengumpulkan bukti dari halaman dari Log masuk wap disalin.
Seperti yang dikatakan oleh nenek saya, kecantikan ada dalam kesederhanaan. Ringkas, berkesan dan cantik, sekeping kod.
Saya membaca artikel penuh… Dan apa kaitannya dengan linux?