Поддельные сертификаты EV используют в мошеннических атаках Steam

21.05.2019

Чрезвычайно убедительная мошенническая атака, которая притворяется торговцем скинами, похоже, использует поддельный сертификат расширенной проверки TLS для кражи учетных записей Steam.

Эта мошенническая атака выдает себя за TradeIt.gg, который занимается торговлей скинами, оружием и другими внутриигровыми товарами в популярных играх, таких как CS: GO, TF2 и DOTA.

Когда пользователь пытается войти через Steam, чтобы просмотреть свой инвентарь на торговой площадке подделки, форма входа в систему OpenID в Steam открывается в новом окне, в котором четко отображается использование сертификата расширенной проверки, выданного Valve Corp.

Сертификаты расширенной проверки (EV) обеспечивают высочайший уровень гарантии того, что веб-сайтом управляет добросовестное юридическое лицо, поэтому мошенники любят использовать их, когда могут. Сертификаты EV обычно стоят дороже, чем сертификаты с подтвержденные доменом или организации, поскольку процесс выдачи сертификата включает более строгий процесс проверки.

Тем не менее, в этом случае мошенники обошли все требования проверки, просто представив поддельный - но очень убедительный - индикатор сертификата EV рядом с адресной строкой.

Более детальная проверка показывает, что страница входа Steam также является подделкой, и на самом деле она вообще отсутствует в новом окне браузера - она отображается в интерактивном подвижном окне “iframe”, который ведет себя как окно браузера позволяя мошеннику использовать его так, как ему хочется.

Функция распознавания, на которую стоит обратить внимание, заключается в том, что фальшивое окно не может быть развернуто или перемещено за пределы сайта подделки.

Само собой разумеется, что когда пользователь отправит свои учетные данные в Steam в это поддельное окно, они будут украдены PHP-скриптом на мошенническом сайте. Затем мошенник может монетизировать скомпрометированный аккаунт Steam, продавая его напрямую или продавая ценные внутриигровые товары пользователя.

Мошенники имеют долгую историю использования пользовательского интерфейса для устранения уязвимостей и для улучшения мошеннических атак. Более 14 лет назад сообщество Netcraft по борьбе с фишингом обнаружило особенно злобный набор примеров, в которых использовалась уязвимость в Microsoft Internet Explorer, которая позволяла размещать часть веб-страницы поверх собственной адресной строки браузера.

Эти типы атак часто повторяются, но методы подмены сертификатов и адресов обычно меняются по мере улучшения безопасности браузера и усиления ограничений. Без сомнения, в будущем будет больше подобных атак, так как разработчики мошеннических сайтов продолжают развивать новые приемы.

 



« Назад

Powered by WHMCompleteSolution