image

Steam-gebruikers doelwit van "browser-in-the-browser" phishingaanval

dinsdag 13 september 2022, 10:36 door Redactie, 11 reacties

Gebruikers van het populaire gamingplatform Steam zijn het doelwit van een phishingaanval waarbij van de "browser-in-the-browser" techniek gebruik wordt gemaakt. Dat laat securitybedrijf Group-IB weten. Bij deze techniek laat een malafide website een inlogpop-up zien met de url van een legitieme website.

Gebruikers kunnen deze url ook kopiëren en plakken. De betreffende pop-up is echter niet van de legitieme website afkomstig. Zodra gebruikers via deze pop-up inloggen worden hun inloggegevens naar de aanvaller gestuurd. Wanneer het slachtoffer tweefactorauthenticatie voor zijn Steam-account heeft ingeschakeld vraagt de pop-up om deze informatie.

Group-IB adviseert gebruikers om te controleren dat nieuw geopende vensters ook zichtbaar in de taakbalk zijn. "Anders is het browservenster nep", aldus het securitybedrijf. Verder wordt aangeraden om het venster te resizen. Als dit niet kan, is dit ook een aanwijzing dat het om een nagemaakt browservenster gaat.

Image

Reacties (11)
13-09-2022, 10:44 door Anoniem
Dit is voor de gemiddelde gebruiker toch niet meer van echt te onderscheiden?! Ik heb aardig wat jaartjes ervaring in de wereld van de informatiebeveiliging, maar ik zou hier zomaar in kunnen trappen.
13-09-2022, 11:34 door Anoniem
Door Anoniem: Dit is voor de gemiddelde gebruiker toch niet meer van echt te onderscheiden?! Ik heb aardig wat jaartjes ervaring in de wereld van de informatiebeveiliging, maar ik zou hier zomaar in kunnen trappen.

nooit de browser van een app gebruiken, niet bij facebook, instagram, noch bij tiktok of steam..
13-09-2022, 12:18 door Anoniem
Door Anoniem:
Door Anoniem: Dit is voor de gemiddelde gebruiker toch niet meer van echt te onderscheiden?! Ik heb aardig wat jaartjes ervaring in de wereld van de informatiebeveiliging, maar ik zou hier zomaar in kunnen trappen.

nooit de browser van een app gebruiken, niet bij facebook, instagram, noch bij tiktok of steam..
Deze vorm van phishing noch het artikel heeft ook maar enigzins betrekking tot browsers van apps..
13-09-2022, 12:38 door Anoniem
Door Anoniem:
Door Anoniem: Dit is voor de gemiddelde gebruiker toch niet meer van echt te onderscheiden?! Ik heb aardig wat jaartjes ervaring in de wereld van de informatiebeveiliging, maar ik zou hier zomaar in kunnen trappen.

nooit de browser van een app gebruiken, niet bij facebook, instagram, noch bij tiktok of steam..
Steam is één en al browser, hele app niet gebruiken dus?
13-09-2022, 12:57 door Anoniem
Ik gebruik geen Steam, maar als je een Password Manager gebruikt in de browser is dit geen probleem. Het iframe domein klopt niet en de password manager zal dan ook niks automatisch aanvullen.
Toch verontrustend, hier zou ik ook zo in kunnen trappen als ik even niet op let en op een browser moet werken zonder password manager.
13-09-2022, 15:00 door [Account Verwijderd]
Ik neem als voorbeeld Conrad.nl....IK DURF DE CLICKABLE URL NIET TE PLAATSEN.... :-[

Naast de twee adviezen van Group-IB....Als je rechts-klikt op de button Log-in om dat in een nieuw tabblad te openen en dat werkt niet, houdt dat in dat je dan op een gespoofte URL van Conrad.nl zit?

Als dat zo is, zou dat ook een geslaagde test zijn om uit te dokteren of je doelwit bent om besodemieterd te worden door crimineel tuig, anders zou ik het ook niet meer weten hoe zekerheid te hebben dat je wél - NOGMAALS ALS VOORBEELD: op Conrad.nl zit of niet (zucht)
In breder verband is deze phishing method anders alweer een volgende kaakslag voor - tot nu - enigszins veilig gebruik van internet, zolang je maar op tijd updatete; niet op alles zomaar klikkerdeklikte, etc. etc. etc.
13-09-2022, 15:23 door Anoniem
Maar zoals in de screenshot te zien is, laadt de website dus een nep-browser? Als deze nep-browser theme niet overeenkomt met je eigen browser valt dit dus meteen op lijkt me.
13-09-2022, 17:14 door Anoniem
Door Quink: Ik neem als voorbeeld Conrad.nl....IK DURF DE CLICKABLE URL NIET TE PLAATSEN.... :-[

Naast de twee adviezen van Group-IB....Als je rechts-klikt op de button Log-in om dat in een nieuw tabblad te openen en dat werkt niet, houdt dat in dat je dan op een gespoofte URL van Conrad.nl zit?

Als dat zo is, zou dat ook een geslaagde test zijn om uit te dokteren of je doelwit bent om besodemieterd te worden door crimineel tuig, anders zou ik het ook niet meer weten hoe zekerheid te hebben dat je wél - NOGMAALS ALS VOORBEELD: op Conrad.nl zit of niet (zucht)
In breder verband is deze phishing method anders alweer een volgende kaakslag voor - tot nu - enigszins veilig gebruik van internet, zolang je maar op tijd updatete; niet op alles zomaar klikkerdeklikte, etc. etc. etc.

Ik heb dit even getest met de github code die in het artikel waar dit artikel naar verwijst staat. Als ik op de link klik krijg ik de custom popup window die moet lijken op een echt nieuw tabje en als ik rechtermuisknop>open in new tab doe dan ga ik naar de website waar de link naar lijkt te verwijzen (De echte dus).
13-09-2022, 17:15 door Anoniem
Door Anoniem: Maar zoals in de screenshot te zien is, laadt de website dus een nep-browser? Als deze nep-browser theme niet overeenkomt met je eigen browser valt dit dus meteen op lijkt me.

Daar heeft de template bouwer ook aan gedacht:
https://github.com/mrd0x/BITB#detecting-color-preference
14-09-2022, 08:31 door [Account Verwijderd] - Bijgewerkt: 14-09-2022, 09:24
Door Anoniem:
Door Quink: Ik neem als voorbeeld Conrad.nl....IK DURF DE CLICKABLE URL NIET TE PLAATSEN.... :-[

Naast de twee adviezen van Group-IB....Als je rechts-klikt op de button Log-in om dat in een nieuw tabblad te openen en dat werkt niet, houdt dat in dat je dan op een gespoofte URL van Conrad.nl zit?

Als dat zo is, zou dat ook een geslaagde test zijn om uit te dokteren of je doelwit bent om besodemieterd te worden door crimineel tuig, anders zou ik het ook niet meer weten hoe zekerheid te hebben dat je wél - NOGMAALS ALS VOORBEELD: op Conrad.nl zit of niet (zucht)
In breder verband is deze phishing method anders alweer een volgende kaakslag voor - tot nu - enigszins veilig gebruik van internet, zolang je maar op tijd updatete; niet op alles zomaar klikkerdeklikte, etc. etc. etc.

Ik heb dit even getest met de github code die in het artikel waar dit artikel naar verwijst staat. Als ik op de link klik krijg ik de custom popup window die moet lijken op een echt nieuw tabje en als ik rechtermuisknop>open in new tab doe dan ga ik naar de website waar de link naar lijkt te verwijzen (De echte dus).

Als dat zo is, Ik kan dat zelf niet testen, mij ontbreekt het aan gespecialiseerde IT kennis, laat staan een proefopstelling om dat zonder gevaar te testen, zou dat goed uitkomen voor de oplettende gebruiker die dit truukje gebruikt, maar het opent ook de (terzijde) ergernis die ik al jaren ervaar met webbrowsers sinds het format van tabs ontstond (ik dacht dat ik het voor de eerste keer zag bij Netscape Communicator 7) dat je altijd rechts moet klikken - dus de optioneel-secundaire klik i.p.v. de primaire linksklik - en dan ook nog moet kiezen uit een pop-up menu: 'open window in new tab', om een link te laten openen in een nieuw tabblad.

Van deze omslachtigheid maakt deze malware dus handig misbruik omdat bijna elke gebruiker argeloos kiest voor de primaire linksklik, terwijl je de malware kunt omzeilen door - omslachtig - rechts te klikken.

Dat zie je dus omdat de knop die naar de malware zou linken dan niet meer als door de malwaremakers bedoeld functioneert. (zoals anoniem, https://www.security.nl/posting/767844#posting767915 concludeerde)

Is dit een juiste conclusie van mij, of rammelt het?
Graag reacties!
14-09-2022, 09:12 door Anoniem
Dit is alleen mogelijk als de phisher de originele webpagina met zijn javascript kan injecten, lijkt mij.

Is het dan mogelijk om het injecten van code van buitenstaanders te blokkeren?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.