Os usuários do Steam estão sendo avisados sobre um novo ataque que engana as pessoas para entregarem suas credenciais de conta por meio de uma técnica de phishing do navegador no navegador. Jogadores competitivos e profissionais estão sendo alvo, assim como qualquer pessoa com uma conta de alto valor.
O ataque sofisticado de phishing na Steam
Os ataques, destacados pelo Group-IB (via Bleeping Computer), usam a técnica do navegador no navegador para fazer uma isca de phishing parecer genuína.
O processo começa quando um alvo, geralmente um jogador competitivo ou profissional, recebe uma mensagem direta convidando-o a participar de um torneio como League of Legends, Counter-Strike, Dota 2 ou PUBG.
A mensagem é um ardil, é claro. O remetente inclui um link para um site com aparência profissional do que parece ser uma empresa de e-sports que hospeda e patrocina torneios e outras competições.
Solicitar a adesão à plataforma abrirá a janela pop-up familiar para fazer login no Steam. A janela é praticamente indistinguível da real, completa com uma seleção de 27 idiomas, um certificado de segurança SSL, um URL legítimo e uma opção de ‘criar conta’. Ele pode até ser movido, redimensionado e maximizado/minimizado.
Mas este não é um pop-up de login real sobreposto ao site atual; é uma janela falsa criada a partir da página existente. Depois que uma vítima insere suas credenciais, ela é levada a um formulário do Steam Guard em funcionamento solicitando um código 2FA (se ativado), aumentando a autenticidade do golpe.
Mesmo que um usuário comece a suspeitar agora, é tarde demais, pois o golpista pegou suas credenciais assim que entrou na janela de login falsa. Os criminosos agora estão livres para furtar quaisquer bens virtuais e fazer o que quiserem com o acesso total à conta.
Um método para garantir que você não caia em um ataque de phishing do navegador no navegador é usar uma extensão de bloqueio de JavaScript — o golpe usa JS — embora scripts de bloqueio possam causar problemas em muitos sites.
Os outros métodos de proteção menos intrusivos incluem aqueles que se aplicam a todo o espaço online: desconfie de mensagens diretas de estranhos e não clique em nenhum link que elas possam conter; e se algo parece bom demais para ser verdade, quase certamente é.
Leia também: Um em cada cinco usuários da Steam agora no Windows 11
