【保持低調】高質釣魚工具 非彈出式登入視窗增偵測困難度
一款保持低調的釣魚工具,最近被發現使用了極難被發現的 Browser-in-the-Browser 技術,竊取 Steam 遊戲內進階玩家的帳戶登入資料,由於並非彈出式視窗,因此不會被安全工具攔截,瀏覽器內顯示的訊息亦能製造安全假象,令目標難以察覺。
今年三月,安全研究員 mr.dox 開發了一套高性能釣魚工具,並示範了如何透過這個工具竊取 Steam、Microsoft、Google 帳戶登入資料的可行性。在相隔多月後,網絡安全公司 Group-IB 便發表了新報告,顯示利用這種技術竊取 Steam 玩家帳戶資料的方法正大行其道,而部分被竊取的高階玩家帳戶,其價值更由 10 萬美元至 30 萬美元,可見黑客憑藉這項釣魚工具的收入相當可觀。
Group-IB 專家指出,這款新的釣魚工具未有在暗網或地下討論區大肆宣傳,黑客戶而通過 Telegram 或 Discord 頻道去招攬生意。而在發送惡意釣魚網站連結的訊息內容,主要是向目標玩家發出參加聯賽邀請,例如 LoL、CS、Dota 2 及 PUBG 等熱門而又經常舉辦聯賽的遊戲。當目標玩家點擊連結,便會被帶到一個虛假電競網站,上面詳列多款熱門遊戲。玩家選擇進入指定遊戲,一個虛假的 Steam 帳戶登入視窗便會彈出。專家說由於沒有觸動瀏覽器的警報,而且這個小視窗支援 27 款語言,又可以放大縮細或隨意拉動移位,因此玩家傾向相信它沒有惡意功能,繼而輸入自己的 Steam 帳戶及 2FA 驗證碼,準備參加遊戲聯賽。
專家續指,黑客為了提升可信度,將虛假電競網站製作得似模似樣,包括有意義清晰的網址、SSL 證書,而連線亦支援 HTTPS 制式。另外,Steam 帳戶登入視窗亦使用 JavaScript 編寫,讓黑客可在網頁的同一頁面自由顯示任何內容,而不會像彈出式視窗觸動安全工具偵測,從而完成高質量的帳戶盜取行動。由於關閉瀏覽器的 JavaScript 功能,會導致玩家無法進入大量網站,因此專家並不建議一般用家隨便關閉相關功能,因此要避免受騙,便只能從玩家本身入手,切勿點擊任何可疑連結。
相關文章:【顧客至上】釣魚即服務全方位照顧客戶 EvilProxy毋懼2FA、MFA驗證
https://www.wepro180.com/phishing-as-a-service220909/
