Com Itasat
Jogadores de títulos como League of Legends (LOL), Counter-Strike: Global Offensive, PlayerUnknown's Battlegrounds (PUBG) e similares no Steam são o alvo de um falso convite para fazer parte de uma equipe profissional de esports. O contato ocorre na própria plataforma e o objetivo é roubar credenciais de acesso a perfis no serviço.
Todo o processo usa o navegador — sem o download de malware. Se a vítima clica no link enviado pelo golpista, é levada a um site falso onde deve fazer login com as informações da conta no Steam para participar de campeonatos. As credenciais são coletadas pelos criminosos, mas, claro, não há competição associada.
Os ataques são personalizados conforme o game, mas algumas vezes o convite indica um título e o nome da equipe faz menção a outro. Para aumentar a sensação de autenticidade, os golpistas usam um kit de phishing para criar domínios e páginas com aparência legítima.
Outra característica é o uso da técnica browser-in-browser, que sobrepõe janelas pop-up falsas a sites com aparência legítima. Como o próprio usuário acessa o domínio e realiza a interação que leva ao pedido de login, isso aumenta a sensação de confiança.
O Group-IB, que descobriu a ação, diz que os ataques buscam invadir as contas dos usuários e substituir as informações para assumir o controle. Depois, os perfis são vendidos a terceiros, com jogos e itens desejados — eles podem valer até US$ 300 mil, quando pertencem a jogadores profissionais, influenciadores ou desenvolvedores de jogos.
A cadeia de ataques é divulgada de forma privada. O kit de phishing não é vendido livremente em fóruns de cibercriminosos — uma forma de reduzir seu alcance e a possibilidade de detecção. Com isso, não se sabe até que ponto o método é efetivo nem quantos usuários foram vitimados.
Para identificar um golpe browser-in-browser, a opção é tentar redimensionar, minimizar ou arrastar o pop-up para fora do site. Se isso não for possível, trata-se de uma janela falsa, renderizada na página e usada como isca para golpes.
A dica de sempre continua válida: não clique em links recebidos de desconhecidos por mensagem direta ou e-mail com convites ou ofertas imperdíveis. Além disso, nunca insira informações pessoais e credenciais em sites que não conhece. Vale, ainda, adotar a autenticação em duas etapas.