Una nueva técnica de phishing está adquiriendo popularidad entre los ciberdelincuentes. Conocido como 'Browser-in-the-Browser (BiTB), este método permite lanzar ventanas emergentes falsas desde una página web que parece convincente para robar información personal de cuentas. Esta misma técnica ha sido utilizada en Steam, y su eficacia es realmente preocupante.
La empresa de ciberseguridad Group-IB ha realizado un informe advirtiendo sobre el peligro de esta técnica. Todo indica a que los atacantes suelen ir detrás de aquellas cuentas de usuarios profesionales o que compiten en torneos de videojuegos.
Un método muy sofisticado para robar cuentas de Steam
Todo comienza cuando un usuario recibe una invitación a un supuesto torneo en forma de mensaje directo, con un enlace que redirige a la supuesta página oficial del mismo. Estos torneos suelen ser de juegos como League of Legends, Counter-Strike, DOTA 2, PUBG, etc. Este mensaje sirve de cebo para que el usuario acceda al enlace adjunto.
La web a la que redirige el mensaje suele ser visualmente similar a la que tendría cualquier compañía de eSports que organiza eventos y torneos. De hecho, en el ejemplo que exponen desde Group-IB, se trata de una web desarrollada de forma muy sofisticada, prácticamente indistinguible de una web oficial y legítima.
Una vez en la web, el usuario puede unirse al supuesto torneo a través de su cuenta de Steam, desde la ya conocida ventana emergente del servicio para insertar las credenciales de acceso. De hecho, la propia ventana emergente cuenta con un certificado de seguridad SSL, y una URL legítima. Además, la ventana se puede mover, redimensionar, e incluso maximizar y minimizar. Vamos, un pop-up que no debería hacernos saltar las alarmas. Pero claro, aquí no estamos hablando de un 'pop-up' al uso.
No se trata de una ventana emergente real, sino de una ventana que se genera a partir de la página web a la que se accede. Es decir, se trata de un elemento visual más de la web. Una vez el usuario ha insertado sus credenciales de acceso, ya no hay vuelta atrás y la ventana incluso pide al usuario el código de Steam Guard como parte del sistema de autenticación de doble factor, incrementando aún más la veracidad del sitio.
Tras haber insertado los datos, los atacantes pueden acceder a la cuenta y realizar todo tipo de acciones a su voluntad. Desde Group-IB aseguran que los ciberdelincuentes suelen tener por objetivo cuentas valoradas entre 100.000 y 300.000 dólares.
La técnica de 'Browser-in-the-Browser' ha sido utilizada también para robar credenciales de cuentas de Microsoft, Google, y similares. Una vía para no caer en este tipo de phishing es hacer uso de bloqueadores de elementos que usen JavaScript, aunque esto corrompería la experiencia de otras páginas web populares, siendo un remedio algo intrusivo.
La recomendación para evitar este tipo de situaciones es la misma de siempre: tener cuidado con los mensajes de desconocidos y mucho más con los enlaces que contienen. Si tienes dudas y crees que no es de fiar, lo mejor que puedes hacer es ignorar el mensaje.