Los usuarios de Steam son advertidos de un sofisticado ataque de phishing en el navegador

Rubén Castro, 14 septiembre 2022

Los usuarios de Steam están siendo advertidos de un nuevo ataque que engaña a la gente para que entregue sus credenciales de cuenta a través de una técnica de phishing en el navegador. El objetivo son los jugadores profesionales y de competición, así como cualquier persona con una cuenta de alto valor.

Los ataques, señalados por Group-IB, utilizan la técnica del “browser-in-the-browser” para hacer que un señuelo de phishing parezca genuino. El proceso comienza cuando el objetivo, normalmente un jugador competitivo o profesional, recibe un mensaje directo que le invita a unirse a un torneo de League of Legends, Counter-Strike, Dota 2 o PUBG.

El mensaje es una treta, por supuesto. El remitente incluye un enlace a un sitio de aspecto profesional de lo que parece ser una empresa de deportes electrónicos que organiza y patrocina torneos y otras competiciones. Al solicitar el acceso a la plataforma, aparecerá la conocida ventana emergente para iniciar sesión en Steam. La ventana es prácticamente indistinguible de la real, con una selección de 27 idiomas, un certificado de seguridad SSL, una URL legítima y una opción de “crear cuenta”. Incluso se puede mover, cambiar de tamaño y maximizar/minimizar.

Pero no se trata de una ventana emergente de inicio de sesión real superpuesta al sitio web actual, sino de una ventana falsa creada a partir de la página existente. Después de que la víctima introduzca sus credenciales, se le lleva a un formulario de Steam Guard que funciona y le pide un código 2FA (si está activado), lo que aumenta la autenticidad de la estafa.

Incluso si un usuario comienza a sospechar en este punto, es demasiado tarde ya que el estafador tomó sus credenciales una vez que se introdujeron en la ventana de inicio de sesión falsa. Los delincuentes son ahora libres de robar cualquier bien virtual y hacer lo que quieran con el acceso total a la cuenta.

Un método para asegurarse de no caer en un ataque de phishing en el navegador es utilizar una extensión de bloqueo de JavaScript -la estafa utiliza JS-, aunque el bloqueo de scripts puede causar problemas con muchos sitios web.

Los otros métodos de protección, es la prevención. Desconfía de los mensajes directos de desconocidos y no hagas clic en los enlaces que puedan contener; y si algo parece demasiado bueno para ser verdad, casi seguro que lo es.