Timp de citit: 6 minute
Au contribuit: Ionel Pomana, Kevin Judge
Jocurile video au jucat un rol important în istoria computerelor și reprezintă un motiv semnificativ pentru popularitatea lor ca produs de larg consum. Familiile aveau jucători de jocuri video în casele lor cu mult înainte de a avea computere personale. Capacitatea de a furniza site-uri web care reproduc mai îndeaproape experiența software-ului independent sa îmbunătățit dramatic în ultimii ani, deci nu este o surpriză faptul că site-uri web de jocuri online au crescut, de asemenea.
Potrivit ebizmba.com, site-ul web de top pentru jocuri este ign.com, cu un număr uimitor de 20 de milioane de vizitatori lunari. De fapt, toate site-urile din lista lor de top 15 depășesc 1.5 milioane de vizitatori pe lună. De asemenea, nu este o surpriză faptul că hackerii criminali încearcă să-și exploateze popularitatea pentru scheme nefaste.
Descriere
Principalele ținte ale unor astfel de scheme sunt jocurile livrate prin Steam, o platformă populară de livrare a jocurilor. Aceste jocuri pot fi jucate offline sau online, cu sau împotriva altor jucători umani. Din păcate, jucătorii online pot avea și compania de „jucători” de care nu sunt conștienți: phishers criminali și scriitori de malware.
Unele jocuri au așa-numitele „elemente din joc” pe care jucătorii le folosesc pentru a îmbunătăți experiența de joc. Aceste articole sunt achiziționate în timpul jocului cu bani reali și prețul lor poate varia de la câțiva cenți la câteva sute de dolari. Jucătorii le folosesc în joc, le schimbă cu alte obiecte sau le vând altor jucători pe o „Piață comunitară”.
Aceasta înseamnă că un cont de jucători poate fi un premiu bogat dacă este compromis de fraudatori.
Programele malware care încearcă să compromită conturile de jocuri nu sunt ceva nou, ci Comodo Antivirus Labs a identificat o nouă abordare pe care criminalii o folosesc pentru a deturna conturile jocurilor livrate de Steam. Acest articol și următoarele informații sunt furnizate pentru a face jucătorii conștienți de astfel de amenințări și, sperăm, să le evite.
Mesajul de phishing
Totul începe cu un mesaj primit de la o persoană necunoscută prin intermediul sistemului de mesagerie al jocului. Utilizatorul este rugat, din diverse motive, să urmeze un hyperlink.
Scopul principal al hackerului este de a obține acreditările de joc online ale jucătorului.
Hiperlinkul duce utilizatorul la un site care seamănă cu un site legitim, dar de fapt este o pagină de phishing concepută de hackeri. În cazul nostru, numele de domeniu conectat este foarte similar cu un site terț legitim pentru tranzacționarea articolelor de joc, dar cu doar două litere modificate în numele de domeniu.
Utilizatorul poate confunda cu ușurință site-ul legitim cunoscut.
Site-urile de phishing
Odată ce linkul este deschis, acesta afișează o copie a site-ului de tranzacționare legitim cu o ofertă comercială foarte atractivă și profitabilă. Consultați serigrafia de mai jos:
Pe site-ul de comerț legitim, la o ofertă comercială se poate răspunde conectându-vă cu contul dvs. de joc utilizând protocolul OpenID. Când un utilizator dorește să se conecteze, este redirecționat către site-ul vânzătorului jocului, unde se conectează și confirmă că dorește să se conecteze și pe site-ul terț.
El este apoi redirecționat înapoi la site-ul de tranzacționare, unde este acum conectat și poate iniția sau răspunde la orice tranzacție pe care o dorește. Cu toate acestea, pe site web de phishing situația este puțin diferită.
Odată ce jucătorul dă clic pe butonul de conectare, acesta nu este redirecționat către site-ul vânzătorului de jocuri, ci către o pagină foarte asemănătoare cu cea a vânzătorului din același domeniu, unde utilizatorul este rugat să-și introducă acreditările de cont.
Un indiciu că acesta nu este un site legitim este acela SSL nu este activat. De fiecare dată când vă aflați pe un site web care vă solicită să introduceți informații personale, nu o faceți decât dacă ați confirmat că pe linia de adresă scrie „https”În loc de doar„ http ”și că se afișează o pictogramă de blocare. Fiecare afacere online legitimă permite SSL deoarece își protejează utilizatorii cu o comunicare securizată.
În acest caz, când datele utilizatorului și parolei sunt trimise, nu se efectuează nicio acțiune de conectare. În schimb, acreditările trimise sunt trimise infractorilor care au creat site web de phishing.
Faza II a înșelătoriei
Multe similare infracțiune virtualăs, cum ar fi pentru utilizatorii băncii, s-ar opri aici cu furtul acreditării de conectare a utilizatorului. Din păcate, această înșelătorie depășește mila.
După ce acreditările sunt trimise și furate, o fereastră pop-up informează utilizatorul că trebuie să fie activată o „pază de joc” pe sistemul computerului pentru a se putea autentifica. Adevăratul „Steam Guard” este un set de măsuri de securitate (inclusiv autentificarea cu doi factori) puse în aplicare de către furnizorul de jocuri pentru a preveni preluarea contului și furtul de acreditări.
În acest caz, infractorii ademenesc utilizatorul să ruleze o aplicație rău intenționată, numită „Steam Activation Application.exe”. Site-ul web de phishing îl va descărca imediat ce este afișată fereastra pop-up.
După cum se vede mai jos, aplicația rău intenționată nu este găzduită pe domeniul respectiv, ci pe Google Drive.
Când este rulată, aplicația citește din cheia de registry calea în care se află clientul Steam.
HKEY_LOCAL_MACHINESoftwareValveSteamInstallPath
După citirea locației, începe să caute toate fișierele al căror nume începe cu șirul „ssfn”.
Când se găsește un fișier care începe cu „ssfn”, conținutul este citit și datele binare sunt convertite în memorie într-o reprezentare hexadecimală în text simplu.
Acest lucru se face pentru a permite aplicației troiene să fure fișierul, trimițându-l printr-o metodă POST către serverul web situat la 82.146.53.11.
Dacă trimiterea a reușit, aplicația afișează un mesaj care spune „Acum aveți acces la contul dvs. Steam de pe acest computer!”, În caz contrar afișează un mesaj că a apărut o eroare:
A apărut o eroare la activarea contului (eroare de citire a discului)
După afișarea unui mesaj de succes sau de eroare, troianul execută cmd.exe cu parametrul „del” pentru a se șterge singur. În acest fel încearcă să-și elimine urmele din sistem, astfel încât utilizatorul să nu suspecteze nicio activitate îndoielnică.
Care este scopul furtului de fișiere „ssfn *”?
Aceste fișiere conțin date de cont Steam și date de autentificare cu doi factori. Când fișierul este introdus în folderul Steam pe un alt sistem, jetonul de autentificare cu doi factori nu va mai fi necesar, orice persoană care folosește fișierul respectiv va avea acces la cont din fișierul cu acces complet.
În acest fel, jocurile pot fi accesate și jucate, articolele din joc (unele care pot fi foarte scumpe) furate sau schimbate pentru casj, istoricul tranzacțiilor vizualizate sau chiar detaliile de conectare a contului și adresa de e-mail pot fi schimbate, astfel încât proprietarul inițial nu va mai putea folosi contul și nici măcar nu îl puteți recupera.
Cum să preveniți astfel de preluări de cont
Următoarele sfaturi se aplică acestei înșelăciuni, dar și majorității variantelor de înșelăciuni de tip phishing:
- Vigilența este cea mai bună apărare:
Nu faceți clic pe niciun link primit de la străini sau chiar pe linkuri suspecte de la prieteni care ar putea fi victime ale piratatorilor. Asigurați-vă că orice proces de conectare pe care îl efectuați este realizat Site-uri web cu SSL de protocolul https, site-uri web care își dovedesc identitatea în acest mod. Verificați de două ori numele de domeniu pentru orice nepotrivire suspectă. - Folosi DNS securizat serviciu:
Orice sistem ar trebui să utilizeze un serviciu DNS sigur, cum ar fi Comodo Secure DNS care vă va avertiza în caz de încercări de phishing. - Utilizați o suită de securitate robustă cu un Firewall și avansat protecția împotriva malware-ului:
Asigurați-vă că ați instalat Comodo Internet Security pentru a fi protejat de malware care ar putea ajunge la sistemul dvs.
Binar analizat
SHA1: 339802931b39b382d5ed86a8507edca1730d03b6
MD5: b205e685886deed9f7e987e1a7af4ab9
Detectare: TrojWare.Win32.Magania.STM
Resurse conexe:
INCEPE O PROBĂ GRATUITĂ OBȚINEȚI-ȚI GRATUIT SCORECARDUL DE SECURITATE INSTANTANALĂ
- blockchain
- coingenius
- Știri Comodo
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- CyberSecurity Comodo
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Mesaj de phishing
- Site-uri de phishing
- site web de phishing
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- DNS securizat
- VPN
- securitatea site-ului
- zephyrnet
![Rezolvarea celor mai frecvente 3 probleme de securitate a site-ului web [Webinar]](https://platoblockchain.com/wp-content/uploads/2023/03/solving-the-3-most-common-website-security-problems-webinar.png "Rezolvarea celor mai frecvente 3 probleme de securitate a site-ului web [Webinar]")
