根据Group-IB安全研究人员的新数据,黑客正在使用一种名为浏览器中的浏览器(BitB)的新网络钓鱼技术来攻击Steam凭据。

与在新选项卡中打开网络钓鱼网页(或将用户重定向到它们)的传统网络钓鱼资源不同,这种类型的资源会在同一选项卡中打开一个虚假的浏览器窗口,以使用户相信它是合法的。

用户通过恶意形式输入的数据被发送给威胁参与者并自动输入到合法资源中。如果数据不正确,受害者会看到错误消息。

在启用双重身份验证 (2FA) 的情况下,资源会返回代码请求。该代码是使用单独的程序创建的,该程序向用户的设备发送推送通知。

Group–IB的技术文章现在描述了一个Browser-in-the-Browser活动,旨在获得 Steam凭证,然后出售这些帐户的访问权限。

公告中写道:“在2022年春季,一位绰号 mr.d0x 的研究人员首次描述了这种网络钓鱼技术。攻击者决定利用 Steam 使用弹出窗口而不是新标签来进行用户身份验证这一事实。”

根据该公告,威胁行为者向受害者发送消息,提供各种吸引人的优惠,以引诱他们访问包含登录按钮的诱饵网页。

此外,Group–IB 指出,几乎所有诱饵网页上的按钮都可以打开模拟合法 Steam 窗口的帐户数据输入表单。

它有一个假的绿色锁标志,一个可以复制的假 URL 字段,甚至还有一个用于双因素身份验证的额外 Steam Guard 窗口。更一般地说,BitB 网络钓鱼页面的内容完全复制自合法页面。在许多情况下,它们甚至包括有关数据保存在第三方资源上的警报。

网络钓鱼页面可以禁用除登录确认和语言切换之外的所有按钮,所有 27 种界面语言功能齐全,选择与合法页面上使用的相同。据报道,在这些活动中被盗的一些 Steam 帐户价值在10万美元到30万美元之间。

在咨询中,Group-IB 还为公司提供了有关如何识别虚假浏览器窗口的建议。这些包括比较标题设计和弹出窗口的地址栏,尝试调整窗口大小(假窗口无法调整大小)和检查地址栏的功能。

以BitB为重点的研究是在对游戏行业的网络攻击大幅增加之际进行的。例如,网络安全公司Akamai在8月发布的一份报告显示,去年游戏行业的网络攻击增加了167%。

黑客使用浏览器中的浏览器技术窃取Steam凭证相关推荐

  1. 如何在所有主要浏览器中清除浏览器缓存(快速方式)

    When fixing common WordPress errors, one common piece of advice that you would often receive is to & ...

  2. 有了TensorFlow.js,浏览器中也可以实时人体姿势估计

    翻译文章,内容有删减.原文地址:https://medium.com/tensorflow/real-time-human-pose-estimation-in-the-browser-with-te ...

  3. 使用ThreeJS在浏览器中展示3D物件

    这是一篇介绍如何在浏览器中展示洗面奶3D物件的文章. 前言 这篇文章仅仅是向你介绍应对下面这种的场景的方法:如果有人突然跟你说,你的皮肤挺不错的耶,你用的什么洗面奶,我也想买一个,你会怎么回答呢?手头 ...

  4. html如何添加音乐火狐,电脑如何将HTML书签导入进火狐浏览器中

    电脑如何将HTML书签导入进火狐浏览器中 火狐浏览器是我们现在经常使用的浏览器之一,我们可以在其中添加HTML书签,快速进入需要进入的网页,今天小编就告诉大家电脑如何将HTML书签导入进火狐浏览器中. ...

  5. WebXR 技术调研 - 在浏览器中构建扩展现实(XR)应用

    WebXR 是一组支持将渲染 3D 场景用来呈现虚拟世界(虚拟现实,也称作VR)或将图形图像添加到现实世界(增强现实,也称作AR)的标准. 通过该 API 可以访问 VR/AR 虚拟设备和跟踪用户姿态 ...

  6. 微信公众号 - 实现 H5 网页在微信内置浏览器中下载文件,可预览和下载 office 文件(doc / xls / ppt / pdf 等)适用于任何前端技术栈网站,兼容安卓和苹果系统!

    前言 网上的教程都是让你写页面 "引导" 右上角三个点里,让用户自己去浏览器打开,其实这样用户体验并不好. 本文实现了 最新微信公众号 H5 网页(微信内置浏览器中),预览下载 o ...

  7. 第十一章:WEB浏览器中的javascript

    客户端javascript涵盖在本系列的第二部分第10章,主要讲解javascript是如何在web浏览器中实现的,这些章节介绍了大量的脚本宿主对象,这些对象可以表示浏览器窗口.文档树的内容.这些章节 ...

  8. Mozilla计划向Firefox浏览器中添加违规警告

    Mozilla 计划向 Firefox 浏览器中添加警告通知,当用户访问过得网站被黑客入侵时. 黑客入侵网络服务和网站是互联网上常见的事情,虽然黑客可能有不同的目的,但他们都想盗取网站的用户数据库. ...

  9. JavaScript 编程精解 中文第三版 十三、浏览器中的 JavaScript

    十三.浏览器中的 JavaScript 原文:JavaScript and the Browser 译者:飞龙 协议:CC BY-NC-SA 4.0 自豪地采用谷歌翻译 部分参考了<JavaSc ...

  10. 研究员发现macOS 版本Safari 浏览器中的严重漏洞,获奖10.5万美元

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员 Ryan Pickren 在 macOS 版本的 Safari 浏览器中发现了一个漏洞,可被恶意网站用于访问受害者的已登录在线账户甚 ...

最新文章

  1. 2016 CVPR 德州仪器 ADAS Tutorial
  2. 苹果系统的自带的系统录屏软件中新录制的视频会出现在这里!
  3. shell学习三十四天----printf详解
  4. POJ 2456 - Aggressive cows(二分)
  5. .NET Framework 1.1安装出现1935错误的解决办法
  6. 语料库python_NLPPython笔记——语料库
  7. wordpress评论框_如何通过过滤和阻止它们来抵御WordPress垃圾评论
  8. Visitor(访问者)
  9. OrCAD设计原理图
  10. oracle sql 实现三张表左连接查询
  11. ubuntu vsftpd
  12. 写在19年初的后端社招面试经历(两年经验): 蚂蚁 头条 PingCAP
  13. salt内置执行模块列表
  14. varchar可以设置唯一吗_微信可以设置特效主题皮肤了,满屏幕的小爱心,你心动了吗?...
  15. 发现自己水平很欠缺!
  16. 一个项目的大体架构及想法。
  17. scratch四级考纲
  18. [51nod13831048]整数分解为2的幂
  19. MarkDown编辑器 - MarkText使用文档
  20. 有趣python 小项目 大全

热门文章

  1. Macbook用Terminal启动Matlab
  2. vs2015 使用Qt语言家及其使用过程中遇到的问题
  3. iOS 应用内付费(IAP)开发步骤
  4. 运维第二篇:Docker--Harbor私有镜像仓库搭建
  5. 山西计算机网络系统安装,山西初中信息技术考试系统操作手册-20210410201505.docx-原创力文档...
  6. 2021-08-08在ubuntu上部署nideshop
  7. wpsppt放映时间_wps ppt如何制作时间倒计时
  8. Android使用NanoHttpd在app内搭建http server(一)
  9. 5.3 解决二维拉普拉斯方程:heat_2d
  10. php酒店系统论文,基于PHP的酒店管理系统PHP1008(毕业设计+论文)