Comodo AV Labs, 피싱 사기 대상 게이머 식별

플라톤에 의해 재발행

팔로워 : 0

읽기 시간 : 6 분

피싱 사기 대상 게이머 도움을 주신 분들 : 이오 넬 포 마나, 케빈 판사
비디오 게임은 컴퓨터 역사에서 중요한 역할을했으며 소비자 제품으로 인기를 얻은 중요한 이유입니다. 가족들은 개인용 컴퓨터를 사용하기 훨씬 전에 가정에 비디오 게임 플레이어를 두었습니다. 최근 몇 년 동안 독립형 소프트웨어의 경험을보다 밀접하게 복제하는 웹 사이트를 제공하는 기능이 대폭 향상되었습니다. 온라인 게임 웹 사이트 또한 호황을 누렸다.

ebizmba.com에 따르면, 최고의 게임 웹 사이트는 ign.com이며 엄청난 월간 20 천만 명의 방문자가 있습니다. 실제로 상위 15 개 목록에있는 모든 사이트는 한 달에 1.5 만 명의 방문자를 초과합니다. 범죄 해커들이 악의적 인 계획을 위해 그들의 인기를 악용하려고 시도하는 것도 놀라운 일이 아닙니다.

살펴보기

이러한 계획의 주요 목표는 인기있는 게임 제공 플랫폼 인 Steam을 통해 제공되는 게임입니다. 이 게임은 다른 인간 플레이어와 함께 또는 다른 플레이어와의 오프라인 또는 온라인 게임을 할 수 있습니다. 불행하게도 온라인 플레이어는 범죄 피싱 및 맬웨어 작성자와 같이 자신이 모르는 "플레이어"회사를 보유 할 수도 있습니다.

일부 게임에는 플레이어가 게임 경험을 향상시키기 위해 사용하는 소위 "게임 내 아이템"이 있습니다. 이 아이템들은 게임 도중 실제 돈으로 구매되며 가격은 몇 센트에서 수백 달러까지 다양합니다. 플레이어는 게임에서이 아이템을 사용하거나 다른 아이템과 교환하거나“커뮤니티 마켓”에서 다른 플레이어에게 판매합니다.

이는 사기꾼이 타당한 게이머 계정이 풍부한 상이 될 수 있음을 의미합니다.

게임 계정을 손상시키려는 맬웨어는 새로운 것이 아니지만 코모도 안티 바이러스 연구소는 범죄자들이 Steam 제공 게임의 계정을 가로 채기 위해 사용하는 새로운 접근 방식을 확인했습니다. 이 기사와 다음 정보는 게이머가 그러한 위협을 인식하고이를 피하기 위해 제공됩니다.

피싱 메시지

피싱 메시지 그것은 모두 게임의 메시징 시스템을 통해 알 수없는 개인으로부터받은 메시지로 시작됩니다. 사용자는 여러 가지 이유로 하이퍼 링크를 따라야합니다.

해커의 주요 목표는 플레이어의 온라인 게임 자격 증명을 얻는 것입니다.

하이퍼 링크는 합법적 인 웹 사이트와 유사한 사이트로 사용자를 안내하지만 실제로 해커가 디자인 한 피싱 페이지입니다. 우리의 경우, 연결된 도메인 이름은 게임 아이템 거래를위한 합법적 인 제 XNUMX 자 사이트와 매우 유사하지만 도메인 이름에서 두 글자 만 변경되었습니다.

사용자는 잘 알려진 합법적 인 사이트로 쉽게 착각 할 수 있습니다.

피싱 사이트

링크가 열리면 매우 매력적이고 수익성있는 거래 제안이있는 합법적 인 거래 사이트의 사본이 표시됩니다. 아래 화면 인쇄를 참조하십시오.

피싱 사이트
합법적 인 거래 웹 사이트에서 OpenID 프로토콜을 사용하여 게임 계정으로 로그인하면 거래 제안에 응답 할 수 있습니다. 사용자가 로그인을 원하면 게임 공급 업체 웹 사이트로 리디렉션되어 로그인하여 타사 웹 사이트에서도 로그인을 확인합니다.

그런 다음 이제 로그인 한 거래 웹 사이트로 다시 이동하여 원하는 거래를 시작하거나 응답 할 수 있습니다. 그러나 피싱 웹 사이트 상황이 조금 다릅니다.

피싱 웹 사이트 게이머가 로그인 버튼을 누르면 게임 공급 업체의 웹 사이트로 리디렉션되지 않고 동일한 도메인에있는 공급 업체의 웹 사이트와 매우 유사한 페이지로 리디렉션되며 사용자는 자신의 계정 자격 증명을 입력해야합니다.

이것이 합법적 인 사이트가 아니라는 단서는 SSL 사용하지 않습니다. 개인 정보 입력을 요청하는 웹 사이트에있을 때마다 주소 표시 줄에 "HTTPS”대신“http”대신 자물쇠 아이콘이 표시됩니다. 모든 합법적 인 온라인 비즈니스는 SSL 안전한 통신으로 사용자를 보호하기 때문입니다.

이 경우 사용자 및 비밀번호 데이터가 제출되면 로그인 조치가 수행되지 않습니다. 대신 제출 된 자격 증명은 피싱 웹 사이트.

사기의 XNUMX 단계

사기의 XNUMX 단계 많은 유사 피싱 사기은행 사용자의 경우 사용자 로그인 자격 증명 도용으로 여기에서 중지됩니다. 불행히도,이 사기는 XNUMX 마일을 넘어갑니다.

자격 증명이 제출되고 도난 된 후, 로그인 할 수 있으려면 컴퓨터 시스템에서 "게임 가드"를 활성화해야한다는 팝업이 사용자에게 표시됩니다. 실제 "Steam Guard"는 계정 인수 및 자격 증명 도용을 방지하기 위해 게임 공급 업체가 시행하는 일련의 보안 조치 (이중 인증 포함)입니다.

이 경우 범죄자는 사용자에게 "Steam Activation Application.exe"라는 악성 응용 프로그램을 실행하도록 유도합니다. 팝업이 표시되는 즉시 피싱 웹 사이트에서 다운로드합니다.

아래에서 볼 수 있듯이 악성 애플리케이션은 해당 도메인이 아니라 Google 드라이브에서 호스팅됩니다.

다운로드 소스
응용 프로그램이 실행되면 Steam 클라이언트가있는 경로를 레지스트리 키에서 읽습니다.
HKEY_LOCAL_MACHINE소프트웨어 밸브 스팀 설치 경로

위치를 읽은 후 이름이 "ssfn"으로 시작하는 모든 파일을 검색하기 시작합니다.

dbg 읽기 위치
"ssfn"으로 시작하는 파일을 찾으면 내용을 읽고 이진 데이터를 일반 텍스트 XNUMX 진 표현으로 메모리로 변환합니다.

06_dbg_search_ssfn

07_mem_convert

이것은 트로이 목마 응용 프로그램이 파일을 POST 방법을 통해 82.146.53.11에있는 웹 서버로 보내 파일을 훔치기 위해 수행됩니다.

08_dbg_보내기
전송에 성공하면 응용 프로그램에 "이 컴퓨터에서 Steam 계정에 액세스 할 수 있습니다!"라는 메시지가 표시되고 그렇지 않으면 오류가 발생했다는 메시지가 표시됩니다.
계정을 활성화하는 동안 오류가 발생했습니다 (디스크 읽기 오류)

09_msg_실패_성공
성공 또는 오류 메시지를 표시 한 후 트로이 목마는“del”매개 변수와 함께 cmd.exe를 실행하여 자체를 삭제합니다. 이렇게하면 시스템에서 추적을 제거하려고하므로 사용자가 의심스러운 활동을 의심하지 않습니다.

10_dbg_shell실행
"ssfn *"파일을 훔치는 목적은 무엇입니까?
이 파일에는 Steam 계정 데이터와 XNUMX 단계 인증 데이터가 포함됩니다. 파일을 다른 시스템의 Steam 폴더에 넣으면 더 이상 이중 인증 토큰이 필요하지 않으며, 해당 파일을 사용하는 모든 개인은 파일에 대한 전체 액세스 권한이있는 계정에서 계정에 액세스 할 수 있습니다.

이런 방식으로 게임에 액세스하고 플레이 할 수 있으며, 게임 내 아이템 (매우 비싸다)이 casj를 위해 도난 또는 거래, 거래 내역 조회 또는 계정 로그인 세부 정보 및 이메일 주소를 변경하여 초기 소유자 더 이상 계정을 사용하거나 복구 할 수 없습니다.

이러한 계정 탈취를 방지하는 방법

이 사기에는 다음과 같은 조언이 있지만 대부분의 피싱 사기도 있습니다.:

경계는 최선의 방어입니다 :
납치범의 피해자 일 수있는 낯선 사람으로부터받은 링크 나 친구로부터 의심스러운 링크를 클릭하지 마십시오. 수행하는 모든 로그인 프로세스가 수행되었는지 확인하십시오 SSL 지원 웹 사이트 를 통해 https 프로토콜이러한 방식으로 자신의 정체성을 증명하는 웹 사이트. 의심스러운 불일치가 있는지 도메인 이름을 다시 확인하십시오.
사용하십시오 안전한 DNS 서비스:
모든 시스템은 다음과 같은 보안 DNS 서비스를 사용해야합니다 Comodo 보안 DNS 피싱 시도의 경우 경고합니다.
강력한 보안 제품군을 방화벽 고급 맬웨어 방지:
설치했는지 확인하십시오 코모도 인터넷 시큐리티 되기 위해 멀웨어로부터 보호 시스템에 도달 할 수 있습니다.