Mercado fechado
  • BOVESPA

    109.114,16
    -2.601,84 (-2,33%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    44.808,56
    -587,38 (-1,29%)
     
  • PETROLEO CRU

    76,58
    -0,13 (-0,17%)
     
  • OURO

    1.630,20
    -3,20 (-0,20%)
     
  • BTC-USD

    19.103,60
    +396,00 (+2,12%)
     
  • CMC Crypto 200

    438,96
    +5,86 (+1,35%)
     
  • S&P500

    3.655,04
    -38,19 (-1,03%)
     
  • DOW JONES

    29.260,81
    -329,60 (-1,11%)
     
  • FTSE

    7.020,95
    +2,35 (+0,03%)
     
  • HANG SENG

    17.855,14
    -78,13 (-0,44%)
     
  • NIKKEI

    26.431,55
    -722,28 (-2,66%)
     
  • NASDAQ

    11.325,25
    +9,00 (+0,08%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,1797
    +0,0821 (+1,61%)
     

Golpe no Steam usa falso convite para equipe de eSports em roubo de contas

Um falso convite para se juntar a uma equipe profissional de esports é a isca para roubar credenciais de acesso a perfis no Steam. O contato acontece pela própria plataforma, com usuários que costumam jogar títulos como League of Legends, Counter-Strike: Global Offensive, PlayerUnknown's Battlegrounds (PUBG) e outros, com chamados para campeonatos levando as vítimas a sites fraudulentos.

A campanha de golpes revelada pelos especialistas em segurança do Group-IB acontece no próprio browser, sem o download de malware. Ao acessar o link enviado pelos golpistas, o usuário é levado ao site de uma suposta organização de esports, onde deve realizar o login para participar de campeonatos usando as informações de sua conta no Steam; não existe competição, claro, e as credenciais vão diretamente para as mãos dos bandidos.

<em>Convite falso para equipe de esports serve de isca para ataque que exibe pop-up falso para roubar credenciais do Steam (Imagem: Reprodução/Group-IB)</em>
Convite falso para equipe de esports serve de isca para ataque que exibe pop-up falso para roubar credenciais do Steam (Imagem: Reprodução/Group-IB)

Os golpes são customizados de acordo com o game citado no contato, mas existem casos em que o comportamento parece automatizado, com o convite indicando um título, mas o nome da equipe em si fazendo menção a outro. Em todos, há registros do uso de um kit de phishing, que facilita a criação de domínios e páginas customizadas, com aparências de reais, para aumentar a sensação de legitimidade do golpe.

Outra característica que tenta aumentar a eficácia é o uso de uma técnica chamada browser-in-browser. A ideia é apostar em janelas de pop-up falsas que aparecem sobre sites com aparência legítima (ou nem sempre), passando ao usuário a ideia de confiança, já que ele próprio acessou o domínio e realizou a interação que levou à aparição do pedido de login. Elas, entretanto, são renderizadas na própria página e não em uma janela separada.

De acordo com o alerta do Group-IB, o foco dos ataques é a invasão das contas dos usuários, cujas informações são substituídas para que os criminosos assumam o controle sobre elas. Depois, elas são vendidas a terceiros, com perfis recheados de jogos e itens de títulos visados, como o próprio CS, podendo valer até US$ 300 mil, cerca de R$ 1,5 milhão caso pertençam a jogadores profissionais, influenciadores ou desenvolvedores de jogos.

<em>Janela falsa aparece dentro da própria página, mas simula a aparência de um pop-in do Windows para roubar credenciais de acesso dos usuários (Imagem: Reprodução/Group-IB)</em>
Janela falsa aparece dentro da própria página, mas simula a aparência de um pop-in do Windows para roubar credenciais de acesso dos usuários (Imagem: Reprodução/Group-IB)

Já a cadeia de ataques em si vem sendo divulgada de forma privada; ainda que se trate de um kit de phishing, ele não é vendido livremente em fóruns cibercriminosos, possivelmente como forma de reduzir seu alcance e, também, a possibilidade de detecção. Por conta disso, não se sabe até que ponto o método foi efetivo e quantas pessoas foram vitimadas pela onda de ataques.

O melhor método de escapar de golpes browser-in-browser é tentar redimensionar, minimizar ou arrastar o pop-up para fora do próprio site — caso isso não seja possível, se trata de uma janela falsa, renderizada na página como isca para golpes. Além disso, vale a dica de sempre: jamais clicar em links que cheguem por mensagem direta ou e-mail, contendo convites ou ofertas imperdíveis enviadas por usuários desconhecidos. Jamais insira informações pessoais e credenciais em sites que cheguem desta maneira e use sempre a autenticação em duas etapas.

Fonte: Canaltech

Trending no Canaltech: