Hackers simuleren browserpop-up om inloggegevens Steam-accounts te onderscheppen

Een nieuw type phishing wordt door criminelen gebruikt om Steam-accounts te stelen en door te verkopen. Het gaat om wat experts een browser-in-browser-aanval noemen, waarbij de suggestie wordt gewekt dat er een inlogscherm als pop-up verschijnt.

De nieuwe techniek werd eerder dit jaar al ontdekt door een onderzoeker met de schuilnaam mr.d0x. Nu blijkt uit een onderzoek van het beveiligingsbedrijf Group IB dat deze techniek wordt ingezet om inloggegevens van Steam-accounts te onderscheppen. Net zoals bij bekende phishing-technieken, wordt het slachtoffer naar een valse website geleid die door de hacker is opgezet. Dat is bij deze aanvallen op Steam-gebruikers ook het geval. Slachtoffers worden naar een website voor een Counterstrike-toernooi gelokt en moeten daar inloggen met hun Steam-account.

Normaal gesproken is dan aan het SSL-certificaat en vaak ook de URL te zien, dat het niet een legitieme site is. Bij de browser-in-browser-techniek is dit veel moeilijker te zien, omdat deze phishingsite door middel van JavaScript een pop-upinlogvenster toont, dat haast niet is te onderscheiden van een echt inlogvenster van Steam.

Het venster kan binnen het geopende tabblad gewoon verplaatst worden. Daarnaast lijkt de URL in het nepvenster ook legitiem en wordt het groene slotje voor een correct SSL-certificaat weergeven. Alleen wanneer het slachtoffer het eerste venster sluit, zal duidelijk worden dat het pop-upscherm onderdeel is van de huidige pagina.

Op het moment dat een slachtoffer met succes inlogt via het nepvenster, hebben de criminelen toegang tot het Steam-account. Om het slachtoffer niet te alarmeren, wordt deze bij een succesvolle inlog doorgestuurd naar een bevestigingspagina voor deelname aan het toernooi.

browser-in-browser

Reacties (78)

SandeR2 15 september 2022 07:35

Ik ben hier zelf ingetrapt, de reden waarom:

Een steam friend van mij was er ook via via ingetrapt en stuurt dan naar iedereen in je friends list om op zijn/haar team te stemmen. Daarna wordt die friend geblocked en verwijdert. In dit geval was het een competitief persoon en kwam het geloofwaardig over. Ik dus heel aardig op de link geklikt en ingelogd om te stemmen.

Daarna gaat mijn account hetzelfde (Engelse) bericht naar mijn friends sturen. Toevallig een bekende belde mijn broer dat mijn account rare berichten aan het sturen was. Heb snel mn wachtwoord gewijzigd en alle lopende sessies beëindigd.

Uiteindelijk hebben de hackers niets met mijn account gedaan en vermoed ik dat ze op zoek waren naar de big boys met dure items in de inventaris.

Het enge is, ik kon de chatlog terug zien hoe de hacker (chatbot) in het Engels begon, maar omdat diegene in het Nederlands terug praatte opeens in het Nederlands door ging en zelfs de door mij toegekende nickname van de friend gebruikte ipv. profielnaam.

Soldaatje 13 september 2022 21:01

In hoeverre beschermd 2FA hiertegen dan? Als dat aanstaat dan moeten de criminelen deze inlog wel meteen misbruiken en hopen dat de gebruiker de 2FA uit de email of app accepteert.

GertMenkel

Beveiliging en antivirus

@Soldaatje • 13 september 2022 22:04

Met SMS/TOTP-codes werkt deze aanval wel. Je kunt eenvoudig het 2FA-scherm namaken en de code proxyen zelf gebruiken als aanvaller.

Maar, het ligt aan de tweefactorauthenticatie: met WebAuthn/FIDO/FIDO2 werkt deze aanval niet omdat de browser (onder andere) het domein verifieert en geautomatiseerd een token verschaft. Ook minder populaire authenticatiesystemen (zoals een TLS client-certificaat) zouden werken.

Ook 1FA werkt in dit opzicht prima als je een browser-geïntegreerde wachtwoordmanager hebt. Als je browser het domein niet kent, wordt je wachtwoord niet ingevuld als je op de knop drukt.

Simpelweg, alle 2FA die de computer uitvoert werkt, alle 2FA die van de menselijke factor afhankelijk is niet.

Cerberus_tm

@GertMenkel • 13 september 2022 22:19

Dat is precies hoe ik Lastpaas vaak gebruik: even kijken of deze site wel in mijn Lastpass staat, anders is hij sowieso vals. En dan inloggen met Lastpass, weet je zeker dat je gegevens van site x alleen bij site x terechtkomen. Dat kan helaas niet met die stomme Steam-client inderdaad, waardoor meer mensen hier misschien in zouden trappen.

Maar je moet gewoon bij elk protocol zoals ook dat van Steam, dat naar buiten de browser leidt, instellen dat dat het met "always ask" gaat. Dan zal er nooit automatisch een pop-up van wat dan ook buiten de browser kunnen opspringen vanuit de browser, zonder dat je daar expliciet toestemming voor geeft. Dat zal hier niet gebeuren, waardoor je meteen 'huh' denkt als er dan toch een pop-up van Steam lijkt te komen, en ben je gealarmeerd.

[Reactie gewijzigd door Cerberus_tm op 22 juli 2024 20:15]

b12e @Cerberus_tm • 14 september 2022 12:58

Nuja dit gaat niet over de Steam client, maar over de website.

En dan kan een popup namelijk wel altijd. De "popup" is namelijk gewoon een browservenster, geen protocol handler (die je beschrijft met "always ask").

Cerberus_tm

@b12e • 14 september 2022 16:18

Dat is precies wat ik wilde zeggen, heb ik het misschien onduidelijk opgeschreven? Als je standaard een waarschuwing krijgt van je browser voordat je naar buiten de browser geleid wordt, en je dan geen waarschuwing krijgt terwijl het lijkt alsof je buiten de browser bent gegaan (nep-Steam-client-popup), dan valt dat op en ben je hopelijk argwanend. Daarom altijd deze waarschuwing aanzetten in de browser.

b12e @Cerberus_tm • 15 september 2022 10:48

Maar je kan toch ook gewoon inloggen via steampowered.com?

De client kom daar helemaal niet aan te pas.

Cerberus_tm

@b12e • 15 september 2022 15:26

Dat kan natuurlijk ook, en daarvoor is een wachtwoordbeheerder natuurlijk helemaal handig: wanneer die niet automatisch invult weet je dat het foute boel is. Maar daar ging dit artikel niet over: het ging erover dat ze doen alsof je in de Steam-client bent, en hoe je kunt voorkomen dat je in hun nep-venster je Steam-gegevens invult.

b12e @Cerberus_tm • 15 september 2022 15:28

Maar daar ging dit artikel niet over: het ging erover dat ze doen alsof je in de Steam-client bent, en hoe je kunt voorkomen dat je in hun nep-venster je Steam-gegevens invult.

Denk dat je beter het artikel nog eens leest.

Slachtoffers worden naar een website voor een Counterstrike-toernooi gelokt en moeten daar inloggen met hun Steam-account.

Normaal gesproken is dan aan het SSL-certificaat en vaak ook de URL te zien, dat het niet een legitieme site is. Bij de browser-in-browser-techniek is dit veel moeilijker te zien, omdat deze phishingsite door middel van JavaScript een pop-upinlogvenster toont, dat haast niet is te onderscheiden van een echt inlogvenster van Steam.

Het venster kan binnen het geopende tabblad gewoon verplaatst worden. Daarnaast lijkt de URL in het nepvenster ook legitiem en wordt het groene slotje voor een correct SSL-certificaat weergeven

Zowel dit als de screenshot maken duidelijk dat het een webpagina is, en niet de steam app. Enkel "inlogvenster van Steam" zou als "app" geinterpreteerd kunnen worden, maar zelfs dat.... een website kan ook een "inlogvenster" tonen.

SSL certificaat, adres balk, een "download Steam" knop.... dit moet gewoon op een (legitiem) browservenster lijken.

[Reactie gewijzigd door b12e op 22 juli 2024 20:15]

Cerberus_tm

@b12e • 15 september 2022 18:53

Aa ik heb Steam opgestart, en ik zie nu inderdaad dat de client een donkere bovenkant heeft, gebruik het programma niet vaak. Dan zou het dus een nep-browser-popup moeten zijn: bestaan zulke login-popups überhaupt bij Steam? Nooit gezien. Maar goed, dan is het allemaal extra makkelijk om daar niet in te trappen, zolang je een wachtwoordbeheerder gebruikt.

b12e @Cerberus_tm • 16 september 2022 16:02

Nuja het idee is dat de website een popup toont om in te loggen bij steam, niet dat Steam een popup toont. Dus het zou eventueel nog mogelijk zijn. Net zoals een "sign in with Google" popup wel eens verschijnt.

Natuurlijk is een wachtwoordmanager niet zo dom om dat te pre-fillen, maar hoeveel mensen gebruiken wachtwoordmanagers?

En zelfs bij mensen die een passwordmanager hebben... Of denken er zelfs bij na waarom het niet op voorhand wordt ingevuld? ik heb wel eens bij een legitieme website dat emailadres of wachtwoord niet wordt ingevuld omdat Dashlane het veld niet goed herkent.

Cerberus_tm

@b12e • 16 september 2022 20:09

Ik heb zo'n pop-up wel eens gezien bij b.v. Paypal, maar nooit bij Steam, vandaar. Maar als jij het wel herkent, komt het dus wel voor.

Mijn hele reactie was een pleidooi voor wachtwoordbeheerders en hoe die helpen tegen vissen.

Lastpass vult heel soms een wachtwoord ook niet goed in, maar je ziet wel bij het icoontje hoeveel accounts hij kent voor dit domein. En ook in het contextmenu. Als ik op Ebay ben en er staat geen icoontje, of geen optie in het contextmenu, dan gaan de alarmbellen wel af.

b12e @Cerberus_tm • 17 september 2022 09:57

Je hebt gelijk hoor.

Net zoals er een alarmbel moet afgaan bij een email van de bank dat je rekening wordt geblokkeerd tenzij je een formuliertje invult, of een Nigeriaanse prins die zijn geld wil witwassen, of gratis NFTs "nadat je even je wallet connect en een transactie ondertekent". Of de belastingsdienst je belt omdat je dringend moet betalen met Amazon giftcards, etc.

Helaas trappen (te veel) mensen er in.

Cerberus_tm

@b12e • 18 september 2022 00:56

Eens, alleen op 1 punt klopt dat niet helemaal. Ik weet echt wel zeker dat het geld dat ik in de loop der jaren aan Nigeriaanse prinsen heb overgemaakt wel terug komt, het was alleen een voorschot op het geld dat ze uiteindelijk zeker aan mij zullen uitkeren.

nullbyte @b12e • 14 september 2022 14:37

Even de popup naar buiten het venster proberen te slepen laat zien dat dit fake is

Sebazzz

@Soldaatje • 13 september 2022 21:11

Two-factor authentication beschermd, maar niet elke vorm.

Als ik Tweakers nabouw en jij je two-factor code invult, doe ik het request en ben ik binnen.

Als ik Tweakers nabouw en jij gebruikt je Yubikey of andere vorm van FIDO beveiliging, dan wordt domeinnaam gevalideerd, moet de server de juiste sleutel hebben, etc. Die vorm van beveiliging zou hier wel werken.

Bozebeer38 @Sebazzz • 13 september 2022 21:41

Dan heb je 1x de inloggegevens, je kan niks veranderen ermee.

faim @Bozebeer38 • 13 september 2022 21:48

Jawel, je hebt op dat moment een sessie, die sessie blijft over het algemeen gewoon actief.

Bozebeer38 @faim • 13 september 2022 22:00

“Log alle apparaten uit”, klaar.

Ze kunnen geen ww veranderen, geen mail adres etc.
Al die stappen vereisen opnieuw verificatie.

R4gnax

Steam

@Bozebeer38 • 13 september 2022 22:46

“Log alle apparaten uit”, klaar.

Ze kunnen geen ww veranderen, geen mail adres etc.
Al die stappen vereisen opnieuw verificatie.

Ze kunnen een API token toevoegen wat ze een achterdeur geeft.

Bozebeer38 @R4gnax • 14 september 2022 05:34

Dat zou kunnen, maar dat lijkt mij een hoop gedoe voor een steam account.

kuijerlattie @Bozebeer38 • 14 september 2022 09:43

Dit soort sites richten zich vooral op Counter-Strike spelers. Bij CS:GO is het niet abnormaal dat iemand 100+ euro aan cosmetics op zijn steam account heeft staan. Deze zijn vrijwel allemaal verhandelbaar dus is het hacken van deze accounts heel lucratief. Deze hackers willen dan ook niet perse je account hebben, maar puur de cosmetics die op je account staan. Als voorbeeld even van google gevist:

The most expensive CS:GO skin, the AWP | Dragon Lore, on record, was sold for $780,000. The trade took place in June 2021 and it also included a Case Hardened AK-47 with four 2014 Katowice Titan Holo Stickers. The buyer paid $780,000 for an AWP | Dragon Lore and a Case Hardened AK-47 with four Titan Holo stickers

mdc @kuijerlattie • 14 september 2022 11:33

Klopt zeker. Heel vaak hebben CS-spelers een grote inventory aan skins die redelijk wat geld waard zijn.

Maar als je de 2FA correct hebt ingesteld moet je via de gsm-app eerst nog eens confirmen voor een trade gebeurd of voor iets op de marketplace wordt geplaatst.

Azenomei @kuijerlattie • 14 september 2022 20:14

En dan te bedenken dat ik 20 jaar geleden zelf CS skins maakte en die gratis op zo'n skin site heb gezet.

TERW_DAN @Bozebeer38 • 14 september 2022 08:33

Ik denk dat het nog best lucratief kan zijn.
Er kan best wat geld omgaan in Steam accounts. En ook al zijn dat niet geweldig grote bedragen, als je automatisch duizenden keren een paar cent binnen weet te krijgen, en dat dag in dag uit, dan kan dat best interessant worden.

En voor 1 Steamaccount is dat wellicht een hoop gedoe, maar als je dit eenmaal gescript hebt, dan heb je er (bijna) geen omkijken meer naar, en dan is het wachten tot mensen inloggen op jouw fakesteam.

sfc1971 @Bozebeer38 • 14 september 2022 05:09

Dus ik kan als ik je inlog gegevens heb niet als jou posten? Weet je het zeker?

raschaoot @Bozebeer38 • 14 september 2022 07:40

"Er is iets misgegaan tijdens het inloggen, probeer het opnieuw"
terwijl je aan de achterkant het ingestelde mailadres van het slachtoffer aan het wijzigen bent.

Verder zijn er vast een heleboel nare zaken die je kan uitvoeren wanneer je maar een keer het slachtoffer kan strikken.

kw4h @Soldaatje • 13 september 2022 22:12

Volgens mij beschermt 2FA hier juist wel tegen. De browser regelt de communicatie met het 2FA apparaat, bijvoorbeeld de yubikey, en geeft daarbij de host mee. Dat is vanuit de pagina niet te spoofen.

Als het een OTP is dan is het wellicht een ander verhaal, want dat is idd gewoon tekstuele invoer die door te sturen is.

R4gnax

Steam

@kw4h • 13 september 2022 22:48

Als het een OTP is dan is het wellicht een ander verhaal, want dat is idd gewoon tekstuele invoer die door te sturen is.

Valve maakt nog steeds gebruik van een domme one-time code.
Er wordt al letterlijk jaren gevraagd om authenticatie met iets sterkers zoals FIDO, maar dat valt op dovemans oren. (En er is een kleine hard kliek trollen op de Steam community die zich tegen dit verzoek blijft verzetten; wat ook niet echt helpt om het tractie te verlenen.)

[Reactie gewijzigd door R4gnax op 22 juli 2024 20:15]

MatthiasL @Soldaatje • 13 september 2022 21:02

Niet. De meeste scams de laatste jaren zij er op gericht je zoveel mogelijk gegevens te ontfutselen en dan op de achtergrond die meteen te gebruiken. Dus je 2FA sleutel wordt met je usernames en wachtwoord meteen gebruikt elders in te loggen.

Dan ben je er nog niet, dus wat ze doen is dior middel van een API key in te zetten, en je dan een trade proberen te laten starten (want een noeuw apparaat duurt 15+ dagen).

[Reactie gewijzigd door MatthiasL op 22 juli 2024 20:15]

YangWenli @Soldaatje • 14 september 2022 14:16

Geen creditcard aan Steam hangen.

MatthiasL 13 september 2022 20:57

Nieuw? Dit bestaat al minstens 6 jaar.

Olaf van der Spek @MatthiasL • 13 september 2022 22:00

Nieuw? Dit bestaat al minstens 6 jaar.

Linkje naar een zes jaar oud nieuwsartikel?
Browser-in-browser lijkt toch echt redelijk nieuw.

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 20:15]

Single Core @Olaf van der Spek • 13 september 2022 22:29

Zelfde aanval in een ander jasje. Malware en toolbars hebben deze techniek al zeker 15 jaar geleden (wellicht langer). Je krijgen een "valse" pop-up die op een echte windows melding pop-up lijkt em gebruikers er toch maar op te laten klikken en whatever spam / malware te downloaden.

SpiceWorm @Single Core • 13 september 2022 22:45

Een browser popup met daarin een windows 95 / 98 inlogscherm hadden we rond 1995 al wel.

GekkePrutser @SpiceWorm • 13 september 2022 23:56

"Your computer has been infected!! Click here to remove the virus"

En dan met een Windows XP look terwijl ik op Linux werk

StGermain @SpiceWorm • 14 september 2022 00:44

In 1985 deden we dit al op de UNIVAC 1100 in de hogeschool

PCG2020 @StGermain • 14 september 2022 09:38

In 1924 deden we dat al met vervalst briefpapier van de Boerenleenbank.

StGermain @PCG2020 • 14 september 2022 14:30

$_/-\o_$ $_/-\o_$ $_/-\o_$

laurxp @Olaf van der Spek • 13 september 2022 22:38

Hier is een blogartikel uit 2017 met een beschrijving van precies dezelfde aanval: https://textslashplain.com/2017/01/14/the-line-of-death/ . Op dat moment kwam het dus vaak genoeg voor om een "ding" te zijn.

Nog beter, hier een research-paper van Microsoft uit 2007: https://www.microsoft.com...picture-phishing-attacks/

[Reactie gewijzigd door laurxp op 22 juli 2024 20:15]

Weiman @Olaf van der Spek • 13 september 2022 22:31

Dit bestaat toch echt al vrij lang, ik ben hier zelf een keer mee in aanraking gekomen zo'n 1.5 jaar terug. Ik wist dat het phishing was, maar ik kon de clue maar niet vinden omdat het certificaat checken helemaal okee leek. Wat het weggaf was dat je de pop-up met de certificaat info niet buiten het browservenster kon slepen.

Lick_A_Brick @Olaf van der Spek • 13 september 2022 22:40

Niet 6 jaar oud, maar het wordt toch al een jaar gedaan: https://www.youtube.com/watch?v=NWtm4X6L_Cs

kodak

Phishing
Beveiliging en antivirus

@Olaf van der Spek • 13 september 2022 23:13

browser-in-browser lijkt opvallend veel op de term man-in-the-browser. Terwijl er geen duidelijk gebruik is om phishing situaties met nagebootste gui's een in-de-browser-term te geven. Er is ook geen warning-in-de-browser als term voor nagebootste warnings, er is ook geen window-in-de-browser, tab-in-de-browser, excell-in-de-browser, mailclient-in-de-browser, rekenmachine-in-de-browser, terminal-in-de-browser etc voor al de gevallen waar dat zich bij voor heeft gedaan. En daar zijn allemaal al veel situaties van geweest, alleen haalt dat vaak het nieuws niet.

Het concept van dit soort phishing is niets anders dan wat criminelen al jaren geleden begonnen te doen: content tonen die lijkt op een gui die gebruikers vertrouwen. Er is geen popup, er is geen tab, er is geen browser of welke applicatie of deel daarvan, er is alleen een nagemaakte content dat zoiets moet voorstellen.
Met het overnemen alsof het nieuw is kan je anders wel aan de gang blijven, aangezien criminelen constant iets nieuws nabootsen, zolang ze maar het idee hebben dat slachtoffers er in zullen trappen omdat die het verschil niet zien. Niet omdat het perse nieuw is.

Cerberus_tm

@Olaf van der Spek • 13 september 2022 22:17

Waarom lijkt je dat niet? Het kan toch al zo lang als Javascript bestaat? Lijkt me niet dat dit nieuw is.

svenk91 @MatthiasL • 13 september 2022 21:50

Ik kan mij niet heugen dat ik ze ooit heb geprobeerd rond te slepen, maar dat ze iets tonen dat op een pop-up lijkt met url en alles, die heb ik inderdaad ook wel eerder gezien. Vooral voor Facebook phishing kwam ik dat met enige regelmaat tegen.

Niettemin, het blijft goed zulke zaken onder de aandacht te brengen.

DylanSan @MatthiasL • 13 september 2022 23:16

Misschien een beetje overdreven maar ik kwam het ongeveer 3 jaar geleden tegen

Bulkzooi @MatthiasL • 13 september 2022 21:27

Nieuw? Dit bestaat al minstens 6 jaar.

Je bedoelt iFrames?

Crp @Bulkzooi • 13 september 2022 21:34

Nee deze manier van phising. Dit word al jaren gedaan.

Nark0tiX @Crp • 15 september 2022 11:23

Klopt snap niet waarom dit als nieuw gezien wordt.

https://www.reddit.com/r/...read_carefully_with_demo/

JWL92 @Bulkzooi • 14 september 2022 09:32

Conclusion

With this technique we are now able to up our phishing game. The target user would still need to land on your website for the pop-up window to be displayed. But once landed on the attacker-owned website, the user will be at ease as they type their credentials away on what appears to be the legitimate website (because the trustworthy URL says so).

Bulkzooi @JWL92 • 14 september 2022 12:09

With this technique we are now able to up our phishing game. The target user would still need to land on your website for the pop-up window to be displayed. But once landed on the attacker-owned website, the user will be at ease as they type their credentials away on what appears to be the legitimate website (because the trustworthy URL says so).

Maw, een background process spawnen. Ik zie geen belemmeringen om hier ook een keylogger in te starten.

Ik noem zoiets een iFrame, en dan niet het Apple video format maar het html-element.

Ja, Da's een veel besproken feature van de browser sinds forever. (En zonder browser is het vergelijkbaar met sandbox'en)

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 20:15]

OMEGA_ReD 13 september 2022 21:00

Daarom is het ook verstandig om een password manager te gebruiken, die zal niet het Steam Username + Password tonen omdat de URL niet klopt.

R4gnax

Steam

@OMEGA_ReD • 13 september 2022 21:20

Daarom is het ook verstandig om een password manager te gebruiken, die zal niet het Steam Username + Password tonen omdat de URL niet klopt.

Nog beter zou zijn als Valve gewoon tijdens het vernieuwen van hun inlog systeem (wat op het moment in de beta trouwens compleet stuk is; maar ja, Valve, heh?) over gestapt zou zijn op een meer generieke pipeline die ook zoals alle andere grote big-tech FIDO ondersteuning biedt.

Maar nee; Valve houdt het op hun eigen gebakken TOTP implementatie in hun eigen Steam mobile app. Eigenlijk gewoon standaard Google TOTP, maar bewust mee gesodemieterd zodat een standaard TOTP app niet meer werkt.

Waarom?
Nou beide waarschijnlijk omdat die app ook voor hen dubbelt als een marketingkanaal, en ze dus gewoon ordinair op de noodzaak voor 2FA mee willen liften om jou die app aan te meten en je 24/7 in het Steam ecosysteem te houden.

SuperDre @OMEGA_ReD • 13 september 2022 21:57

En gewoon steamguard gebruiken, hoe irritant vaak die ook naar voren komt.

Mizgala28 13 september 2022 21:59

Maar als je Steam Guard gebruikt kan dit ook? Of ben je dan wel veilig, want daar is dit artikel niet duidelijk over (of ik mis hier iets)

Bloodhoundje @Mizgala28 • 14 september 2022 00:13

Ja en nee, Ik heb deze aanvalsmethode via een Twitch channel 2 jaar geleden ook gehad. De truuk die ze hanteren is dat ze 2 inlogpogingen van je proberen te ontfutselen. De eerste is om in te loggen op je account. Als je je gegeven invoert krijg je een foutmelding van de site dat je gegevens niet kloppen. Dus je wordt gestimuleerd op via een 'andere' manier in te loggen. Als je dan een 2e keer probeert in te loggen proberen ze het account volledig te hijacken doormiddel van 2fa verificatie via SMS die ze laten voordoen als 'inlog authenticatie' en niet als wachtwoord wijzig actie die in de achtergrond door ze wordt uitgevoerd.

Enige manier om dat te zien is bewust te zijn dat steam je nooit voor de extra authenticatie vraagt op dit soort sites. Het is wel ontzettend slim hoe ze dit aanpakken en je moet goed wakker zijn. Ze rekenen voornamelijk op gebruikers die denken 'oh ik moet snel zijn om mee te doen met deze prijs/tournament dat ik kan winnen' en die dus in hun hoofd niet in het hokje 'is mijn account wel veilig' meer zitten maar in de stimulans van 'iets kunnen winnen'.

Mizgala28 @Bloodhoundje • 15 september 2022 09:36

'oh ik moet snel zijn om mee te doen met deze prijs/tournament dat ik kan winnen'

Gelukkig heb ik nul interesse in dat soort dingen (en in FPS shooters zoals CS:GO)

Met andere woorden, beetje goed opletten is voldoende in mijn geval, ik heb 2fa al enkele jaren aan op Steam (te veel games die ik anders kwijt raak)

Maar het is best schokkend hoeveel mensen ik ken die geen 2fa gebruiken omdat "het overbodig is" of "te irritant werkt"... maar ja dat doen die mensen zelf dan.

Bloodhoundje @Mizgala28 • 15 september 2022 14:47

Gelukkig heeft Steam wel een zeer goede customer support. Bij een account hijack vraagt steam je om enkele bankafschriften van game aankopen die je hebt gedaan op jouw account met hierin de ID's van de aankoop zichtbaar. Daarmee bewijs jij de echte eigenaar te zijn en restored steam jouw account (email adres wordt aan vorige mail gehangen (de jouwe) en wachtwoord wordt gereset zodat je opnieuw moet inloggen en de ww reset naar jouw eigen mailbox gaat.

JWL92 14 september 2022 09:14

Kan aan mij liggen,
Maar nieuw is dit toch niet? Ik kreeg in de tijd dak nog actief csgo speelde (lees ~~4 jaar terug) al dit soort phishing links toegestuurd op Steam.
Vaak iets in de richting van "we need a teammate to join the tournament..."

AzaZPPL @JWL92 • 14 september 2022 09:56

Helemaal mee eens. Ik had dit een jaar of drie geleden toen ik nog veel op CSGO skin roulette website speelde. Kreeg van iemand via een bericht een website voor hun nieuwe platform binnen waar ik eerste 10 rolls gratis zou kunnen krijgen. Exact wat er in de tweakers afbeelding getoond wordt, kreeg ik ook voor mijn neus gesleuteld.

Cyb 13 september 2022 22:32

Alleen wanneer het slachtoffer het eerste venster sluit, zal duidelijk worden dat de pop-up-scherm onderdeel is van de huidige pagina.

Andere manieren om het te herkennen:
- Het pop-up scherm is mogelijk niet buiten de parent te slepen, wat normaal wel mogelijk is.
- Form history werkt niet
- Eventuele browser customisatie is opeens weg, bijv. Firefox themes.
- Eventuele browser menu bars zijn verdwenen of hebben beperkte instellingen, of instellingen in een andere taal.

Achter een desktop is het vrij gemakkelijk te herkennen als je weet waar je op moet letten. Op een mobiele telefoon wordt het iets lastiger omdat alles daar standaard max full screen is. Daarom haat ik het ook wanneer bijv. een Android browser een bank app opent om een betaling te verrichten. Je moet dat altijd opletten dat het ook daadwerkelijk de bank app is.

GekkePrutser @Cyb • 13 september 2022 22:43

En: Window decoraties zullen niet kloppen als je een ander besturingssysteem of theme gebruikt.

scworld 13 september 2022 22:38

Was hier zelf ingetrapt. Na 5 seconden merkte ik dat de locatie van de inlog in de 2FA mail van Valve uit Rusland kwam. Heb snel alle sessies gestopt en wachtwoord veranderd. Zeker een van de beter uitgevoerde phishing aanvallen die ik ben tegengekomen.

SandeR2 @scworld • 15 september 2022 07:39

Ja same here. Via een chat van een bekende friend..

Skit3000

13 september 2022 21:35

Net zoals bij bekende phishing-technieken, wordt het slachtoffer naar een valse website geleid die door de hacker is opgezet. Dat is bij deze aanvallen op Steam-gebruikers ook het geval.

Zodra een gebruiker op een valse website zit en gelooft dat deze echt is, kun je sowieso alles voor elkaar krijgen wat je wilt. De beschreven aanval zou wat mij betreft pas bijzonderder zijn als het bijvoorbeeld op een af andere slimme manier javascript injecteert in de echte Steam pagina, bijvoorbeeld door een achtergelaten comment of een bijzondere gebruikersnaam die javascript-detectiemethoden omzeilt.

svenk91 @Skit3000 • 13 september 2022 21:56

Mwah. Er zijn best veel websites die een functie aanbieden waarbij je met je Facebook/Apple/Google/MS/DigiD/iDIN/.../Steam account kan inloggen bij die website. Daarbij is het vrij gebruikelijk dat je dit via een pop-up doet.

Opzich werkt dat prima, je moet dus alleen wel echt nagaan of je op de echte site inlogt, en voer nooit zelf het wachtwoord / een 2fa code in daar.

arjanvr 13 september 2022 21:35

Je kunt maar op 1 device de 2fa tonen, het lijkt me dan ook vrij gemakkelijk om je account weer 'terug te claimen' want belangrijke wijzigingen als email adres moet je ook nog bevestigen op het bestaande emailadres. Kan er natuurlijk naast zitten

Op dit item kan niet meer gereageerd worden.

Hackers simuleren browserpop-up om inloggegevens Steam-accounts te onderscheppen

Lees meer

Reacties (78)

Sorteer op:

Weergave: