Golpe no Steam usa falso convite para equipe de eSports em roubo de contas

Um falso convite para se juntar a uma equipe profissional de esports é a isca para roubar credenciais de acesso a perfis no Steam. O contato acontece pela própria plataforma, com usuários que costumam jogar títulos como League of Legends, Counter-Strike: Global Offensive, PlayerUnknown's Battlegrounds (PUBG) e outros, com chamados para campeonatos levando as vítimas a sites fraudulentos.

• As principais ameaças cibernéticas contra quem joga
• 39% dos gamers brasileiros não se preocupam com segurança usando redes públicas

A campanha de golpes revelada pelos especialistas em segurança do Group-IB acontece no próprio browser, sem o download de malware. Ao acessar o link enviado pelos golpistas, o usuário é levado ao site de uma suposta organização de esports, onde deve realizar o login para participar de campeonatos usando as informações de sua conta no Steam; não existe competição, claro, e as credenciais vão diretamente para as mãos dos bandidos.

Os golpes são customizados de acordo com o game citado no contato, mas existem casos em que o comportamento parece automatizado, com o convite indicando um título, mas o nome da equipe em si fazendo menção a outro. Em todos, há registros do uso de um kit de phishing, que facilita a criação de domínios e páginas customizadas, com aparências de reais, para aumentar a sensação de legitimidade do golpe.

Outra característica que tenta aumentar a eficácia é o uso de uma técnica chamada browser-in-browser. A ideia é apostar em janelas de pop-up falsas que aparecem sobre sites com aparência legítima (ou nem sempre), passando ao usuário a ideia de confiança, já que ele próprio acessou o domínio e realizou a interação que levou à aparição do pedido de login. Elas, entretanto, são renderizadas na própria página e não em uma janela separada.

De acordo com o alerta do Group-IB, o foco dos ataques é a invasão das contas dos usuários, cujas informações são substituídas para que os criminosos assumam o controle sobre elas. Depois, elas são vendidas a terceiros, com perfis recheados de jogos e itens de títulos visados, como o próprio CS, podendo valer até US$ 300 mil, cerca de R$ 1,5 milhão caso pertençam a jogadores profissionais, influenciadores ou desenvolvedores de jogos.

Já a cadeia de ataques em si vem sendo divulgada de forma privada; ainda que se trate de um kit de phishing, ele não é vendido livremente em fóruns cibercriminosos, possivelmente como forma de reduzir seu alcance e, também, a possibilidade de detecção. Por conta disso, não se sabe até que ponto o método foi efetivo e quantas pessoas foram vitimadas pela onda de ataques.

O melhor método de escapar de golpes browser-in-browser é tentar redimensionar, minimizar ou arrastar o pop-up para fora do próprio site — caso isso não seja possível, se trata de uma janela falsa, renderizada na página como isca para golpes. Além disso, vale a dica de sempre: jamais clicar em links que cheguem por mensagem direta ou e-mail, contendo convites ou ofertas imperdíveis enviadas por usuários desconhecidos. Jamais insira informações pessoais e credenciais em sites que cheguem desta maneira e use sempre a autenticação em duas etapas.

Fonte: Group-IB