サイバーセキュリティープロバイダのGroup-IBはシンガポール時間13日、Valveのゲーム配信プラットフォーム「Steam」を巡る詐欺について、7月だけでも150以上の不正なリソースを発見したと同社ブログで公表した。
SteamのIDやパスワードなどを盗む手口はさまざまで、従来はSteamになりすましているものの、簡単に偽サイトであると分かるものが多かったという。
ところが、2022年春に発見された「browser-in-the-browser」という手段では、Steamがユーザー認証を行なうさいにポップアップを利用していることを逆手に取り、フィッシングサイトから「偽のログイン画面」に遷移させてログイン情報などを入力させるという。
フィッシングサイトは、トーナメントの参加チケットの割引オファーや、ゲーム内の武器スキンのプレゼントサイトなどに擬態しており、偽のログイン画面も「アドレスバー内のリンクが正規サイトと同一」「SSL証明書の鍵アイコンがある」など、かなり精巧に作りこんでいるようだ。
ただし、この偽のログイン画面はポップアップを模しているが、ポップアップウィンドウではないという。「最小化」ボタンや「閉じる」ボタンは正常に機能するが、ポップアップ画面の移動範囲が「展開元のブラウザ範囲内」のみという決定的な差異があるようだ。
コメント