Los ciberdelincuentes están aprovechando una técnica que consiste en crear ventanas falsas de inicio de sesión dentro de sitios web de phishing aparentemente legítimos para robar las credenciales de sus víctimas. El uso de esta artimaña está siendo especialmente preocupante en Steam, pero puede ser utilizada para usurpar a cualquier plataforma.
Un investigador apodado mr.d0x fue el primero en bautizar a esta práctica como phishing “browser-in-the-browser” (navegador en el navegador), pero la compañía de ciberseguridad Zscaler ya la descubrió en 2019. Y, ahora, Group-IB ha presentado un informe, donde analiza en profundidad el funcionamiento de esta técnica fraudulenta.
“Usando la técnica, los piratas informáticos crean una ventana de navegador falsa en un recurso de phishing, que a primera vista es indistinguible de la auténtica. Los actores de amenazas decidieron aprovechar el hecho de que Steam usa una ventana emergente para la autenticación del usuario en lugar de una nueva pestaña,” explican los investigadores en su publicación.
Como bien dicen, el principal problema de todo esto es que, al ser prácticamente idénticas, muchos usuarios no son capaces de distinguir entre esta página de login falsa y la auténtica. Así que, si por desgracia, muerden el anzuelo, podrían acabar enviando sus credenciales a los criminales y, por lo tanto, perder su cuenta. En la siguiente imagen, podemos ver una comparativa entre una página de inicio de sesión real y una imitación. Y la verdad es que hay que ser muy perspicaz para notar la diferencia.
Steam en el punto de mira
Las cuentas de jugadores profesionales de Steam pueden llegar a valer entre 100.000 y 300.000 dólares, por lo que venderlas puede ser un negocio redondo para los actores de amenazas.
El robo de credenciales se lleva realizando desde hace muchos tiempo, pero las tácticas de ingeniería social para lograrlo son cada vez más sofisticadas, lo que obliga a los usuarios a ser mucho más cautos. Solo en julio, el Equipo de Respuestas a Emergencias Informáticas de la compañía (CERT-GIB) detectó “más de 150 recursos fraudulentos que imitan a Steam”.
Una de las estrategias que están utilizando para engañar a los usuarios es la de enviarles mensajes por Steam en los que les invitan a participar en un torneo o, simplemente, les instan a votar por su supuesto equipo. Para ello, les mandan un enlace que lleva a un sitio de competiciones de videojuegos aparentemente legítimo, sin embargo, se trata de una página de phishing.
Una vez dentro, cuando el usuario quiere realizar alguna acción en concreto, aparece una ventana emergente que simula ser una página de inicio de sesión de Steam. La ventana está tan bien hecha que muchos pueden acabar ingresando sus credenciales sin ningún temor, con las terribles consecuencias que esto acarrea. Y es que hay varios elementos muy bien elaborados destinados a embaucar a los usuarios.
Una imitación casi perfecta
En primer lugar, esta falsa ventana incluye una barra de direcciones en la que se encuentra una URL de Steam, lo que hace esta práctica aún más indetectable. Esto es posible gracias a un truco que utilizan los ciberdelincuentes combinando HTML y un evento “onclick” de JavaScript, como explica el propio mr.d0x en una publicación de su blog.
Además de esta trampa, a la izquierda de la URL de esta ventana también aparece un símbolo de candado de certificado SSL, por lo que el usuario puede creer erróneamente que se encuentra en un sitio totalmente seguro. Para más inri, la ventana incluye 27 idiomas distintos como si del propio sitio de Steam se tratase y es capaz de mostrarle al usuario el que le corresponde en base a las preferencias de su navegador.
Por otro lado, otro elemento del engaño se encuentra en el funcionamiento de la propia ventana, ya que, a primera vista, sigue el mismo que el de cualquier otra ventana convencional. Los botones de minimizar y cerrar funcionan correctamente y la ventana también se puede mover, aunque hay un detalle que podría encender las alarmas: su tamaño solo está limitado al de la pantalla del navegador, por lo que no puede moverse más allá de ella.
Por último, el propio contenido de la ventana falsa, que simula a la perfección el de una página de inicio de sesión de Steam. Para ello, los piratas informáticos usan una argucia algo burda pero efectiva, que consiste en incrustar el contenido de steam.html utilizando una etiqueta «iframe».