Steam: Neue Phishing-Methode wird immer beliebter

Julian Blatter
Julian Blatter

USA,

Steam ist für Betrüger ein gutes Ziel – die Accounts sind wertvoll. Die Kriminellen werden immer raffinierter. Aber unschlagbar sind sie noch lange nicht.

Valve KI
Das Logo der Spiele-Vertriebsplattform Steam. - Valve

Das Wichtigste in Kürze

  • Betrüger versuchen, an Passwörter von Steam-Accounts zu gelangen.
  • Dafür imitieren sie vermehrt die Drittanbieter-Login-Seite von Steam.
  • Die Pop-ups sind gute Fälschungen. An einigen Dingen kann man sie aber erkennen.

Phishing ist nicht gerade ein neues Phänomen auf Steam. Kein Wunder. Die Plattform ist voller Accounts mit hunderten oder tausenden von gekauften Spielen, teuren «CS:GO»-Skins und noch viel mehr.

Viel zu oft ist es einzig ein Passwort, das Kriminelle von wertvollen Accounts trennt. Und sie werden immer kreativer.

Das Cybersecurity-Unternehmen «Group-IB» berichtet in einem Blogeintrag über eine in letzter Zeit beliebten Methode: Dem Browser-in-Browser-Phishing.

Wie die Masche funktioniert

Damit Kriminelle an Account-Daten gelangen, locken sie Spielerinnen und Spieler gezielt auf eigene Websites. Das funktioniert etwa über eine Einladung zu einem «CS:GO», «Dota», oder «PUBG»-Turnier.

Vom E-Sport-Turnier trennt die Spielerin oder der Spieler nur noch eins: die «Verifizierung» des Steam-Accounts. In einem erschreckend gut gefälschten Pop-up-Fenster soll man seine Daten eingeben. Sogar die Zwei-Faktor-Authentifizierung läuft ganz normal.

Wer bis hierhin den Betrügern auf den Leim gegangen ist, wird seinen Account wahrscheinlich nicht wiedersehen.

Wie man sich schützen kann

Problematisch ist, wie echt die Pop-ups wirken. Die URL wirkt authentisch, sogar SSL-Verschlüsselung wird suggeriert. Das Fenster verhält sich grösstenteils normal, lässt sich schliessen, umherschieben, vergrössern. Kurz: Die Masche wirkt authentisch.

Trotzdem bleiben einige Unterschiede zu einem echten Fenster von Steam für Drittanbieterseiten. «Group-IB» hat einige Punkte herausgearbeitet: So ist etwa das SSL-Zertifikat lediglich ein Bild und nicht wie sonst anklickbar. Auch funktioniert der Maximieren-Button nicht und das Pop-up kann nicht aus dem Browser-Fenster hinausgezogen werden.

Mehr zum Thema:

Kommentare

Weiterlesen

71 Interaktionen

Mehr aus USA