STEAM : Phishing par la technique du Browser in Browser

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Avatar de l’utilisateur
Parisien_entraide
Messages : 12067
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

STEAM : Phishing par la technique du Browser in Browser

par Parisien_entraide »

2022-08-22_093357.jpg




PHISHING par BROWSER IN THE BROWSER


Pour savoir ce qu'est le phishing Browser in the Browser https://www.malekal.com/le-phishing-par ... wser-bitb/

2022-08-22_085234.jpg


La technique du Browser in the Browser sur Steam avait déjà été expérimentée en 2020
https://www.zscaler.com/blogs/security- ... redentials


2022-08-22_083158.jpg

Nous somme en 2022, et la technique s'est améliorée

En mars 2022, un spécialiste a démontré une technique qui permet de créer des formulaires de connexion de phishing en utilisant de fausses fenêtres dans le navigateur Chrome. L'attaque est basée sur le fait que lorsque vous accédez à des sites, vous pouvez souvent voir une offre de connexion à l'aide d'un compte Google, Microsoft, Apple, Twitter, Facebook, Steam, etc.
Cliquer sur un tel bouton (tel que "Connexion avec Google") affichera une fenêtre d'authentification unique (SSO) dans le navigateur, vous invitant à entrer vos informations d'identification et à vous connecter avec ce compte.
https://www.bleepingcomputer.com/news/ ... r-windows/

______________
STEAM


2022-08-22_084736.jpg


Il a été découvert 150 ressources frauduleuses déguisées sur Steam


Sur Steam il y a environ 120 millions de joueurs, et les comptes de certains bons joueurs, liés par ex aux jeux Half-Life, Counter-Strike et Dota 2 etc sont très recherchés


Les pièges sont posés

Afin d'attirer les victimes vers une page de phishing avec un bouton de connexion au compte, les attaquants envoient aux utilisateurs un message dans des chats thématiques et des pages publiques avec une proposition de rejoindre un tournoi d'esports dans des jeux populaires (League of Legends, Counter-Strike, Dota 2, PUBG, ... ), votez pour l'une des équipes, achetez des billets pour un événement, recevez un objet ou un skin en jeu.

2022-08-22_085119.jpg
2022-08-22_084940.jpg

Une autre façon d'attirer les utilisateurs vers un site de phishing consiste à faire de la publicité dans une vidéo de jeu populaire (enregistrement en continu, gameplay) ou dans sa description.


En utilisant la technique Browser in the browser, les attaquants profitent du fait que sur la plateforme Steam, l'authentification se produit dans une fenêtre pop-up, et non dans un nouvel onglet. Contrairement à la plupart des escroqueries qui ouvrent une page de phishing dans un nouvel onglet ou cliquent dessus, la nouvelle technique ouvre une fausse fenêtre de navigateur dans le même onglet.


Contrairement à la plupart des escroqueries qui ouvrent une page de phishing dans un nouvel onglet, la nouvelle technique ouvre une fausse fenêtre de navigateur dans le même onglet

C’est subtil non ?

La page ressemble comme deux gouttes d’eau à une vraie, avec un formulaire de saisie de données de compte qui imite la fenêtre Steam d’origine.
Dans la fenêtre contextuelle, il y a même un faux « cadenas vert » l’icône du certificat SSL
Tous les les boutons fonctionnent correctement, la fenêtre peut être déplacée sur l’écran.
De plus, vous pouvez choisir l’une des 27 langues.



Une fois que l'utilisateur a saisi ses données dans un formulaire de phishing, elles sont immédiatement transférées aux pirates et automatiquement saisies sur la ressource officielle.
Si vous entrez les données de manière incorrecte (l'un des moyens d'authentifier une ressource auprès des publics du jeu), le nouveau formulaire de phishing signalera une erreur, tout comme un vrai Steam.
Si la victime a activé l'authentification à deux facteurs, la ressource frauduleuse affichera une demande de code dans une fenêtre supplémentaire.

2022-08-22_084256.jpg

Les campagnes sont menées par des groupes d'attaquants réunis sur des forums sur le dark web ou Telegram. Ils coordonnent leurs actions via Telegram ou Discord.
De plus contrairement aux programmes de phishing en tant que service, dans lesquels des kits de phishing sont développés pour la vente, les kits de phishing pour Steam sont gardés secrets.


Voila donc ce qui est dangereux dans cette technique du navigateur dans le navigateur (Browser in the Browser) via une application de vol de données concrètes.


Se référant à une étude publiée l'année dernière par Adalytics https://adalytics.io/blog/unsandboxed-ads indiquant que 70% des principaux sites Web d'éditeurs ne parviennent pas à mettre en bac à sable les iframes utilisées pour diffuser des publicités, Augustine Fou https://twitter.com/augustinefou chercheur en fraude publicitaire, a déclaré qu'il craignait que BitB ne soit utilisé par ceux qui diffusent des publicités malveillantes
"Un code malveillant peut entrer via l'annonce dans l'iframe, mais comme l'iframe n'est pas sécurisé, il peut être injecté dans la page parent", a-t-il expliqué. C'est-à-dire qu'une mauvaise publicité pourrait faire apparaître une fenêtre contextuelle BitB sur la page, demandant le nom d'utilisateur et le mot de passe de quelqu'un à récolter."



COMMENT DISTINGUER UN FORMULAIRE DE PHISHING " Browser in the Browser ?

- Il faut vérifier la conception du titre et de la barre d’adresse de la fenêtre qui s’ouvre. Le faux peut différer de la norme de votre navigateur.
Il faut donc prêter attention aux polices et à l’apparence des boutons de commande, au style général, qui différera normalement de votre navigateur

- Vérifier si une nouvelle fenêtre s’est ouverte dans la barre des tâches. Sinon, la fenêtre est une « fausse ».

- Essayer d’augmenter / diminuer la fenêtre . Une fausse fenêtre n’offre pas cette possibilité
De plus, cela ne fonctionnera pas si on souhaite l’étendre en plein écran.

- La fenêtre est limitée à l’écran du navigateur . Elle ne peut pas être déplacée vers les commandes de l’onglet d’origine.

- Le faux bouton de réduction de la fenêtre la ferme tout simplement.

- Dans le formulaire de phishing, le cadenas qui affiche le certificat est une image normale.
Lorsque vous cliquerez dessus, rien ne se passera, alors que le vrai vous proposera de voir des informations sur le certificat SSL.

- La fausse barre d’adresse n’est pas fonctionnelle.
Dans certains cas, elle ne vous permet même pas d’entrer une autre URL (adresse de site) , mais même si c’est le cas, il ne sera pas possible d’y accéder dans la même fenêtre.

- La fenêtre cessera d’apparaître lorsque vous désactiverez l’exécution des scripts JS dans les paramètres du navigateur.


Si on utilise des protections liées au scripts .JS dans le navigateur, il ne se passera rien
Il est également peu probable que les gestionnaires de mots de passe saisissent automatiquement les informations d'identification dans une fausse fenêtre, car ils ne la considèrent pas comme réelle


Il faut se rappeler qu' il faut se connecter à Steam QUE directement depuis le domaine steampowered.com.
Si vous utilisez un autre site qui souhaite se connecter via Steam, assurez-vous d'effectuer des recherches approfondies sur le site avant de saisir des identifiants de connexion.

___________

Une petite liste de faux sites Steam
Je n'ai pas eu le temps de vérifier, mais c'est un bon complément aux listes dispo pour Ublock Origin, Pi-hole etc comme
https://poorpocketsmcnewhold.github.io/SteamScamSites/

Code : Tout sélectionner

aladdinhub[.]fun
allskinz[.]xyz
ano-skinspin[.]xyz
anomalyknifes[.]xyz
anomalyskin[.]xyz
anomalyskinz[.]xyz
anoskinzz[.]xyz
berrygamble[.]com
bit-skins[.]ru
bitknife [.]xyz
bitskines[.]ru
challengeme[.]vip
challengeme[.]in
challengeme[.]ru
cmepure[.]com
cmskillcup[.]com
contrepayé[.]xyz
counterspin[.]top
counterstrikegift[.]xyz
cs -bête[.]xyz
cs-lucky[.]xyz
cs-pill[.]xyz
cs-prizeskins[.]xyz
cs-prizeskinz[.]xyz
cs-simpleroll[.]xyz
cs-skinz[.]xyz
cs- fumée[.]xyz
cs-spinz[.]xyz
cs-victoire[.]xyz
csallskin[.]xyz
csbuyskins[.]dans
cscoat[.]eu
csgo-analyst[.]com
csgo-cash[.]eu
csgo-steamanalyst[.]net
csgo-swapskin[.]com
csgo-trade[.]net
csgo-up[.]com
csgobeats[.]com
csgocase[.]un
csgocashs[.]com
csgocheck[.]ru
csgocompetive[.]com
csgodetails[.]info
csgodreamer[.]com
csgodrs[.]com
csgoelite[. ]xyz
csgoencup[.]com
csgoevent[.]xyz
csgoindex[.]ru
csgoitemdetails[.]com
csgoitemsprices[.]com
csgoko[.]tk
csgomarble[.]xyz
csgomarketplace[.]net
csgomarkets[.]net
csgoprocupgo[. ]com
csgorcup[.]com
csgorose[.]com
csgoroyalskins1[.]com
csgoskill[.]ru
csgoskinprices[.]com
csgoskinsinfo[.]com
csgoskinsroll[.]com
csgosteamanalysis[.]com
csgosteamanalyst[.]ru
csgoteammate[.]gq
csgothunby[.]com
csgotrades[.]net
csgovip[.]ru
csgoxgiveaway[.]ru
csgozone[.]net[.]dans
csgunskins[.]xyz
csmoneyskinz[.]xyz
csmvcecup[.]com
csprices[.]dans
csskillpro[.]xyz
csskinz [.]xyz
cstournament[.]ru
csxrnoney[.]com
cybergamearena[.]ru
d2cups[.]com
d2faceit[.]com
deamonbets[.]ru
demonbets[.]ru
diablobets[.]com
doatgiveaway[.]top
dopeskins[.]com
dota2fight[.]ru
dota2fight[.]net
dota2giveaway[.]top
dota2giveaways[.]top
dotafights[.]vip
dotagiveaway[.]gagnez
des gains[.]xyz
emeraldbets[.]ru
esportgaming[.]ru
event-games4roll[.]com
exchangeuritems[.]gq
extraskinscs[.]xyz
ezwin24[.]ru
faceiteasyleague[.]ru
fireopencase[.]com
free-skins[.]ru
game4roll[.]com
gameluck[.]ru
games -roll[.]ru
games-roll[.]ml
games-roll[.]ga
giveawayskin[.]com
global-skins[.]gq
globalcsskins[.]xyz
globalskins[.]tk
goldendota[.]com
goodkins[. ]gq
gosteamanalyst[.]com
gtakey[.]ru
hellgiveaway[.]commerce
hltvcsgo[.]com
hltvgames[.]net
knifespin[.]top
knifespin[.]xyz
knifespin[.]top
knifespins[.]xyz
knifez-roll[. ]xyz
knifez-win[.]xyz
league-csgo[.]com
lehatop-01[.]ru
loungeztrade[.]com
lucky-skins[.]xyz
makson-gta[.]ru
maxskins[.]xyz
mvcsgo[. ]com
mvpcup[.]ru
mvptournament[.]com
mygames4roll[.]com
night-skins[.]com
ownerbets[.]com
playerskinz[.]xyz
rangskins[.]com
roll-skins[.]ru
roll4knife[.] xyz
rollknfez[.]xyz
rollskin-simple[.]xyz
csgo-market[.]ru[.]com
sakuralive[.]ru[.]com
csgocupp[.]ru[.]com
csgoeasywin[.]ru[.]com
csgocybersport[.]ru[.]com
csgocheck[. ]ru[.]com
csgo-market[.]ru[.]com
csgoindex[.]ru[.]com
rushbskins[.]xyz
rushskins[.]xyz
s1mple-spin[.]xyz
simple-knifez[.]xyz
simple-win[.]xyz
simplegamepro[.]ru
simpleroll-cs[.]xyz
simplespinz[.]xyz
simplewinz[.]xyz
skin-index[.]com
skin888trade[.]com
skincs-spin[.]xyz
skincs- spin[.]top
skinmarkets[.]net
skins-hub[.]top
skins-info[.]net
skins-jungle[.]xyz
skinsboost[.]ru
skinsdatabse[.]com
skinsind[.]com
skinsmind[.]ru
skinspace[.]ru
skinsplane[.]com
skinsplanes[.]com
skinsplanets[.]com
skinxmarket[.]site
skinz-spin[.]top
skinz-spin[.]xyz
skinzjar [.]ru
skinzprize[.]xyz
skinzspin-cs[.]xyz
skinzspinz[.]xyz
spin-games[.]com
spin4skinzcs[.]top
spin4skinzcs[.]xyz
spinforskin[.]ml
sponsored-simple[.]xyz
staffstatsgo[.]com
starrygamble[.]com
stat-csgo[.]ru
stats-cs[.]ru
steam-analyst[.]ru
steamanalysts[.]com
steamgamesroll[.]ru
stewie2k-giveaway-150days[.]pro
sunnygamble[.]com
swapskins[.]live
test-domuin2[.]com
test-domuin3[.]ru
test-domuin4[.]ru
test-domuin5[.]ru tournoit[.]com
waterbets[.]ru
ultimateskins[.]xyz
win-skin[.]top
win-skin[.]xyz
winknifespin[.]xyz
winskin-simple[.]xyz
winskins[.]top
wintheskin[.]xyz
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »