Steam phishingové útoky

Dlouho jsem nic nenapsal, což samozřejmě hodlám napravit. Dnes bohužel s velmi smutnou zprávou. Před několika týdny proběhly komunitou okolo hry Counter Strike: Global Offensive zprávy o četných krádežích účtů na Steamu. Jako vždy jsem si myslel, že se jedná pouze o hrubé porušení zásad bezpečnosti… měl jsem pravdu.

Nepochybně lze tento útok na uživatele provést několika různými způsoby. Jako např. zavirovanou přílohou emailu, či keylogerem (program zaznamenávající to co na klávesnici píšete). Před takovou formou útoku by měl být na pozoru jak uživatel, tak jeho anti-virové zabezpečení. V čem vám však anti-virus za žádných okolností nepomůže je tzv. Phishing.

Jedná se o velmi jednoduché sociální inženýrství. Zkontaktuje Vás osoba, která vás pod příslibem zisku či jiné věci naláká na svůj web, kde vás donutí odeslat vaše přihlašovací údaje. Např. pomocí přihlášení. Webová prezentace patří danému útočníkovi, který uloží jméno a heslo v nešifrované podobě. Tudíž mu jednoduše řečeno vaše přihlašovací údaje dobrovolně předáte.

V tomto vám nepomůže ani 10 antivirových programů, protože varování steamu po prokliknutí odkazu z chatu je již tak banální, že jej každý ignoruje. Stránka se na pohled tváří jako přesná kopie některé oficiální (věrohodné stránky) a vy se na ní prostě přihlásíte, tak jako by jste to udělali na normální stránce. Z pohledu antivirového zabezpečení se neděje nic neobvyklého.

Dnes nad ránem jsem si sám vyzkoušel jak jednoduché to je. Zkontaktoval mě uživatel Yggron (vypadá to. že má více variant), který mě velmi slušně, anglicky požádal jestli bych mu nezanechal komentář „+rep“ na jeho profilu na Dota 2 Lounge a přislíbil, že mi za tento komentář pošle klíč v hodnotě 1.79 Euro do hry CSGO. Toto není neobvyklé! Uživatelé rádi spamují a nahánějí kladné hodnocení. Co víc já sám hraji CSGO, což je na mém profilu zřetelně viditelné a o Dotu 2 se nezajímám, proto ani nevím jak (a jestli vůbec existují) vypadají stránky Dota2lounge. Hmm klíč by se hodil že…?

Jenže odkaz na jeho profil nevedl na stránky dota2lounge.com nýbrž na stánky dota2iounge.com (všimněte si zejména záměny písmena l za i v adrese), tedy podvržené, které vedou kam jinam než do ruska. Stránky stejně jako jeho profil vypadal naprosto identicky, jako v případě originálních stránek, odkazy vedli zpět na steam či na pravé stránky dota2lounge. Útočník cílil pouze na napsání daného komentáře, protože podmínkou komentování je login. Ten již ale nevede na stránky steamu a login se pouze uloží na serveru útočníka a stránka vás dále přesměruje na třeba i pravé stránky s výzvou o znovu zadání jména a hesla po kterém se již korektně přihlásíte. Toto však nemohu potvrdit – tak daleko jsem se nedostal. Ale v této chvíli už je zle, protože vám se může vše jevit tak jak má, avšak útočník již vaše přihlašovací údaje získal.

Nezachrání Vás ani ověřovací kód zaslaný na email, protože ten má platnost omezenou časově. Aby jste měli čas ho použít. A expiruje ve chvíli korektního přihlášení. To se však nestane protože se nepřihlašujete ke službám steamu, ale na stránku útočníka. Tudíž pokud bude útočník dostatečně rychlý (což bude), tak se bez problémů přihlásí.

Pokud (a teď se zamyslete) máte stejné heslo ke steamu jako k vašemu emailu, který útočník zjistí hned po přihlášení. Tak se bez problému přihlásí i na váš email. Dostane tím kontrolu nad ověřovacími kódy. Pohodlně si heslo změní. Počká než vyprší 7mi denní ochranná lhůta a steam účet bez větších problémů vykrade. Např. tak, že za peníze ve steam peněžence nakoupí, itemy protáhne přes několik účtů a daný účet třeba úplně zruší, aby za sebou zametl stopy. (to je popsáno na Redditu jako jeden z mnoha případů napadení).

Takže jsem doufám velmi jednoduše nastínil jak je to jednoduché. Jedná se o klasické sociální inženýrství, žádné hackování! Útočník vás slušně požádá, vy mu „skočíte na špek“. Zacílí na něco v čem si úplně nejste jisti, jako v mém případě – hraji CSGO, on po mě chtěl něco ohledně Doty 2. A výsledek je ten, že i kdyby vám podpora steamu účet vrátila, tak peníze ani předměty už neuvidíte. Peníze budou utraceny a předměty přeprodány na některé z tržnic provozující třetí stranou např. již výše zmíněné csgolounge.com.

Proto prosím buďte opatrní (ať nedopadnete jako mnoho ostatních), dbejte základních zásad bezpečnosti, nastavujte různá středně silná až silná hesla pro své služby a pořádně se dívejte kam je zadáváte. Kdyby jste objevilo více podobných podvodů, neváhejte zanechat vzkaz do komentářů a pomoci tak ostatním.

9 thoughts on “Steam phishingové útoky

  1. Po napsání přihlašovacích údajů (samozřejmě smyšlených) nejenže nepřesměruje na skutečný steam aby předstíral chybné zadání hesla, nýbrž ještě vyzve ke stažení EXE, které je prý potřeba k dokončení přihlášení – to už je vrchol….

    • Děkuji za doplnění Honzo! Spustitelný .EXE už je tak profláknutý, že člověk internetu znalý by se na to neměl za žádných okolností nachytat. Tady se ale z větší části cílí i na děti a to už je horší…

  2. Akorat se mi neco podobneho stalo… chtela jsem si zahrat csko, a mela sem tam zpravu od jednoho s kterym jsme hrali. jestli bych neudelala trade ze by chtel todle a todle.. tak sem to krava odklikla a odhlasil se mi steam a nemohla sem se tam nijak dostat. pak sem se tam dostala pres web a zbrane v prdeli a nahrabal si odeme 9 euro. jak ho muzu nahlasit? nebo jak se dostanu na podporu aby mi to vratili? nemuzu se do ted prihlasit do aplikace steamu.

    • Ano, zde si vytvoř účet https://support.steampowered.com/register.php (je to jiný acc než ten od steamu) a podej ticket, kde se snaž co nepřesněji vylíčit okolnosti krádeže. Vracejí v rozmezí 14 dní až měsíce… ale to jestli ti ho vrátí nebo ne, záleží na tom jak jsi byla okradena… To co popisuješ je script, takže máš vlekou šanci navrácení…

  3. Ahoj lidi, mohu se Vás zeptat, zda-li mi vrátí mé skiny, když mě phisnuli o itemy v ceně 80 e, prostě mi nějakej týpek poslal link, já ťuňťa na to klikl, no a moje itemy fuč, už 3 týdny a 3 dny mi steam support neodpověděl, poslal jsem jim vše, co chtěli, inventory history, market history, chat apod. napsal jsem, jak se to stalo. Dík za odpověď.

    • Musíš počkat (steam support je přetížený), popř. po třech týdnech až měsíci poslat stejný s ticket znovu. Pokud jsi měl zapnutý steam guard, tak se o své itemy nemusíš bát.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *