针对Steam平台的攻击分析
2019-12-04 14:00:48 Author: www.freebuf.com(查看原文) 阅读量:142 收藏

数字游戏平台服务不仅简化了游戏本身的销售,还为开发商提供了额外的盈利手段。例如,游戏中的皮肤、设备和角色增强元素,都可以获得大量的收益。用户自己也可以互相推销商品,最稀有的可以卖到几千美元。

哪里有钱,哪里就有欺诈。骗子们试图获得登录信息,以“剥离”受害者的角色,并以丰厚的价格出售他们辛苦得来的物品。

其中一个最受欢迎的平台:Steam,自六月以来,针对该平台的攻击变得更加频繁,更为复杂。

攻击分析

骗局是基于网络钓鱼实施的,攻击者将用户引诱到假冒的在线商店(在本例中,是与STEAM链接的商店)网站,这些网站出售游戏内物品。假冒网站质量很高,有时很难直接辨别网站真伪。网站具有以下特征:

1、假冒网站会对真网站的每一个细节进行仿造

2、有安全证书并支持https

3、发出使用cookies的警告

4、提供一些到原始网站的链接(单击时这些链接不起作用)

用户在网站上花费的时间越长,就越有可能发现一些奇怪的东西。因此,骗子不想让用户停留太久,在钓鱼网站点击任何链接,用户都会立即有窗口询问steam登录名和密码。Steam帐户可以用于登录第三方交易平台,以获得受害者拥有的物品数据。

假登录/密码窗口与真实窗口非常相似:地址栏包含Steam门户的正确URL,页面具有自适应布局,如果用户使用不同的界面语言在另一个浏览器中打开链接,则假页面的内容和标题将根据新的“区域设置”进行更改。

但是,右键单击此窗口的标题(或控件元素)会显示网页的菜单,选择“查看代码”会看到当前为假冒窗口,使用的HTML和CSS实现:

在样本中,用户名和密码使用post方法通过另一个域上的api进行传输。

通过使用原始服务对输入的数据进行验证,输入错误的登录名和密码时,会向用户显示一条错误消息:

当输入有效的登录和密码时,系统请求通过输入在电子邮件中或在Steam Guard应用程序中生成的授权代码。输入的代码也会转发给骗子,从而获得对帐户的完全控制:

其他方式

除了使用html和css创建登录窗口外,攻击者还采用了一种古老的技巧:在单独的窗口中使用一个假的表单,但地址值为空。虽然窗口显示方式不同,但工作原理同上,表单验证输入的数据,如果登录名和密码匹配,则提示受害者输入双因素授权码。

如何防范

防范此类诈骗的主要方法与识别钓鱼网站的方法没有本质区别。

1、仔细查看地址栏及其内容的显示,观察它是否包含了正确的url,例如,网站地址可能与商店名称不匹配,或者显示“about:blank”字样。

2、密切关注“外部”资源的登录表单。在包含窗体的窗口标题栏上单击鼠标右键,或者尝试将其拖到主浏览器窗口之外,以确保它不是假的。

4、如果怀疑登录窗口不是真的,请在新的浏览器窗口中打开STEAM主页,然后从那里登到帐户。然后返回可疑登录网站并刷新页面。如果是真的,会显示账户已经登录。

5、如果一切看起来正常,但仍有可疑之处,请使用WHOIS检查域名注册信息,真正的公司不会在短时间内注册域名,也不会隐藏他们的联系方式。

*参考来源:securelist,由Kriston编译,转载请注明来自FreeBuf.COM


文章来源: https://www.freebuf.com/articles/network/218771.html
如有侵权请联系:admin#unsafe.sh