Recibir un mensaje de Steam de alguien que intenta estafarte con un sombrero de Team Fortress 2 era un rito de iniciación para los jugadores de PC en la década de 2010, pero las técnicas de phishing de hoy en día son mucho más sofisticadas. El último ataque parece una oportunidad real para los jugadores competitivos emergentes, con un formulario de inicio de sesión seguro y todo.
Empresa de seguridad Group-IB (se abre en una pestaña nueva) (a través de Bleeping Computer (se abre en una pestaña nueva)) dice que esta sofisticada técnica de phishing de «navegador en el navegador» apareció «de la nada» a principios de este año: mr.d0x la descubrió por primera vez. (se abre en una pestaña nueva)—y ha estado atrapando a los usuarios de Steam desde entonces. Según la compañía, la clave del método es que los atacantes no solo imitan una página web, sino una ventana emergente completa del navegador. Eso les permite hacer que un formulario de inicio de sesión de Steam falso parezca confiable al mostrar un símbolo de bloqueo de certificado SSL falso y otras ilusiones.
En Steam, los objetivos principales de la estafa son los jugadores competitivos y profesionales, a quienes se les envían mensajes directos que los invitan a unirse a los torneos. Si muerden, son dirigidos a una plataforma de torneos de juegos de aspecto elegante donde se les pide que inicien sesión con sus credenciales de Steam.
La ventana emergente de inicio de sesión de Steam es la ventana falsa de «navegador en el navegador», y si el usuario cae en la trampa, los piratas informáticos obtienen acceso a su cuenta de Steam. El premio para los estafadores es la cuenta en sí y todos los juegos vinculados a ella, así como cualquier bien virtual en el inventario del usuario, como las máscaras de CS:GO. Atraer a los usuarios con torneos quizás esté diseñado para atraer a jugadores competitivos que probablemente tengan artículos caros en sus inventarios de Steam, ya que los jugadores de CS:GO pueden tener máscaras por valor de miles de dólares en sus cuentas.
La ventana emergente falsa incluye un certificado de seguridad falso y admite varios idiomas. Se puede maximizar, minimizar y mover. Usar las credenciales de Steam para iniciar sesión en sitios web legítimos no es raro, por lo que es probable que algunos usuarios no lo piensen dos veces, dado que nada se ve mal en la ventana a primera vista.
El ataque usa JavaScript, según Bleeping Computer (se abre en una pestaña nueva), por lo que una extensión de bloqueo de secuencias de comandos ofrecerá cierta protección al evitar que se ejecute el código. Uso una extensión de bloqueo de secuencias de comandos (se abre en una pestaña nueva) mismo, y aunque puede ser un fastidio navegar a nuevos sitios, lo he encontrado indispensable.
Las reglas generales de Internet se mantienen: si algo parece demasiado bueno para ser verdad, probablemente lo sea. E incluso si no parece tan bueno, podría ser aún peor de lo que parece, así que no haga clic en enlaces de fuentes en las que no confíe y filtre cuidadosamente o ignore los mensajes directos y correos electrónicos desconocidos. Ya sea que se trate de criptomonedas, NFT o máscaras de CS:GO, si tiene un valor en dólares adjunto, alguien intentará robarlo. ¡Mantente a salvo ahí fuera!