Hakerzy masowo wykradają konta graczy dzięki tej metodzie. Jak się bronić?

W sieci wyprodukowanych zostało już bardzo wiele wszelkich poradników instruujących jak bronić się przed atakami hakerów. Powstał także liczny zasób artykułów, których celem jest ostrzeganie i informowanie użytkowników sieci przed czyhającymi nad nimi zagrożeniami w Internecie.

Takowych materiałów nigdy nie będzie za wiele z jednego, bardzo prostego powodu. Hakerzy co rusz wymyślają nowe sposoby i metody łamania haseł, wykradania danych oraz uderzania bezpośrednio w prywatność przeciętnego internauty.

W ostatnim czasie hakerzy obrali sobie za cel graczy, a narzędzie, na jakim bazują napastnicy to Browser-In-The-Browser, czyli specjalna metoda phishingu, która polega na bezpośrednim wykradnięciu danych w taki sposób, by ofiara na początku nawet nie zorientowała się, że coś jest nie tak.

Wśród cyberprzestępców BITB zyskuje na popularności w zastraszającym tempie, a narażeni na działanie tej techniki są wśród graczy przede wszystkim użytkownicy najpopularniejszej platformy z grami, czyli Steama.

Oszuści implementują fałszywe okna przeglądarki, które wyglądają niemal identycznie jak strony, na których logujemy się niemal codziennie. Cyberprzestępcy dzięki programistycznym umiejętnościom i w oparciu o HTML oraz CSS są w stanie odwzorować na swojej stronie formularze logowania do popularnych usług.

BITB jest w stanie tak odtworzyć rzeczone formularze, by te do złudzenia przypominały okienko logowania do Steama, Microsoftu, poczty, serwisów Gmail i wielu innych wcale nie mniej popularnych serwisów.

Jak zauważył na swoim blogu mrd0x badacz do spraw bezpieczeństwa w sieci, na pierwszy rzut oka, okienka logowania są nie do rozpoznania przez zwykłego użytkownika internetu. Co gorsze, oszuści skrzętnie wykorzystują możliwości JavaScript i jQuery, by wiernie odtworzyć wszystkie animacje, które napotykamy podczas rutynowego, regularnego logowania.

Dlaczego ofiarami najczęściej padają użytkownicy platformy Steam? Z bardzo prostego powodu. Rynek Steama jest niezwykle rozwinięty jeśli chodzi obecność wirtualnych przedmiotów w postaci skórek, naklejek, sztandarów i odznak. Niekiedy asortyment potrafi kosztować naprawdę krocie. Rekordziści posiadają w swoich ekwipunkach nawet po kilka milionów dolarów.

Cyberprzestępcy oczywiście o tym wiedzą, więc nie zamierzają stać bezczynnie. Szczególnie w ostatnim okresie można zaobserwować ich wzmożoną aktywność w serwisach takich jak: Instagram, YouTube, Discord czy Telegram. Oszuści rozsyłają linki do wielu różnych osób pod pretekstem: wzięcia udziału w turnieju, odebrania darmowej rzeczy, wygrania sowitej nagrody czy... tutaj możecie wstawić wszystko, na co pozwoli wasza kreatywność.

Oczywiście od samej próby wykradnięcia hasła, do uskutecznienia takiego ataku jest jeszcze daleka droga. Mimo wszystkich wysiłków, umiejętności programistycznych i sporych zasobów kreatywności, wszystko zależy od użytkownika po drugiej stronie - czy będzie w stanie taki atak odeprzeć i nie da wciągnąć się w grę napastnika?

Przede wszystkim sprawdzi się tu jedna, święta zasada - nie wchodzimy na żadne strony internetowe podesłane przez obce nam osoby. Niezależnie, czy kanałem komunikacji jest Discord, mail, czy jakieś inne medium społecznościowe.

Po drugie, co sprawdzi się w przypadku Steama - warto mieć włączone zabezpieczenie z uwierzytelnianiem dwuskładnikowym. Taka metoda pozwoli na sporą rezerwę jeśli chodzi o protekcję naszego konta. Nieodzowna będzie również uniwersalna rada - duża doza ostrożności i przezorność powinny wybawić nas ze wszystkich opresji...