Het online speldistributieplatform Steam, dat meer dan 75 miljoen gebruikers heeft, is een geliefd doelwit van cybercriminelen en recent zijn er weer nieuwe aanvallen ontdekt. Aanvallen tegen Steam vinden al jaren plaats, maar worden steeds verder verfijnd om ook de twee factor-authenticatie te omzeilen.
Internetbedrijf Netcraft waarschuwt voor phishingaanvallen middels typosquatting. Steam-gebruikers worden via de originele Steam chatclient aangevallen bijvoorbeeld door personen die zeggen met de gebruiker virtuele goederen te willen verhandelen. De verstuurde links die zogenaamd naar het echte Steam-domein lijken te wijzen, komen in werkelijkheid op een phishingsite uit waar één letter verkeerd is gespeld. In plaats van steamcommunity.com wordt bijvoorbeeld sleamcommunity.com gebruikt.
Op deze phishingpagina wordt de gebruikersnaam en wachtwoord van de gebruiker gevraagd. Deze gegevens hebben weinig nut als het slachtoffer de Steam Guard heeft aanstaan. Deze twee-factor authenticatie staat standaard ingeschakeld als het slachtoffer een geverifieerd e-mailadres heeft en Steam sinds de verificatie tenminste twee keer heeft herstart. Als Steam Guard staat ingeschakeld kan de aanvaller niet op het account van zijn slachtoffer inloggen, tenzij hij over de toegangscode beschikt die naar het slachtoffer wordt gestuurd.
Oudere Steam phishingsites vroegen het slachtoffer om hun toegangscode, maar deze tactiek werkt niet meer. Aanvallers die het Steam-account van hun slachtoffers willen plunderen door allerlei virtuele goederen te verkopen moeten door een nieuwe maatregel nu een dag wachten voordat er vanaf een nieuwe computer gehandeld kan worden. Daardoor kan het slachtoffer in de tussentijd zijn Steam-account weer terugkrijgen.
De phishingsites ontwikkelden zich door slachtoffers te vragen om een speciaal ssfn-bestand te uploaden. Dit bestand bevindt zich in de Steam-map van het slachtoffer en fungeert als een authenticatiesleutel. Door het kopiëren van dit bestand kan een aanvaller de twee-factor authenticatie omzeilen en toegang tot het account van zijn slachtoffer krijgen.
Bij de meest recente aanvallen wordt er een nieuwe tactiek gebruikt, die niet probeert om slachtoffers hun ssfn-bestand te laten uploaden, maar juist iets te laten downloaden. De phishingsites tonen een dialoogvenster dat zogenaamd een speciale tool bevat, maar in werkelijkheid malware is die het ssfn-bestand naar de aanvaller verstuurt. Die kan daardoor op het account inloggen en allerlei goederen verkopen.
Bepaalde virtuele goederen, zoals speciale oordopjes voor virtuele karakters, kunnen 30 dollar per stuk waard zijn. Sommige Steam-gebruikers hebben tal van dit soort goederen verzameld, waardoor de accounts duizenden dollars waard kunnen zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.