黑客利用伪造的弹出登录窗口窃取Steam帐户

据FreeBuf网站消息，网络黑客正利用新型浏览器网络钓鱼技术——Browser In The Bopwser(BITB)，在游戏平台Steam窃取用户账户。

BITB是一种正逐步流行的攻击手法，主要是在活动窗口中创建伪造的登录页面，通常为用户所要登录服务的弹出页。

今年3月，Bleeping Computer 曾报道过由安全研究员 mr.d0x创建的这种新网络钓鱼工具包，该工具包可以让攻击者为 Steam、Microsoft、Google 和任何其他服务创建虚假登录表单。该项目的初中主要是服务于攻防中的红底人员。

9月12日，由 Group-IB发布的关于此类攻击的研究报告中说明了BITB攻击针对Steam用户的钓鱼过程，并出售这些账户的访问权限。这些目标账户通常价值不菲，大多在 100000 美元到 300000 美元之间。

以锦标赛为诱饵

钓鱼的第一步，是在Steam上向受害目标发送加入英雄联盟、CS、Dota 2 或 PUBG 锦标赛团队的邀请，受害者若点击邀请中的链接，就会被带往一个赞助和举办电子竞技比赛组织的网站，该网站实质上是一个钓鱼站点，受害者会被要求使用Steam账号登录加入团队，但登录页面窗口并不是覆盖在现有网站上的实际浏览器窗口，而是在当前页面中创建的虚假窗口，因此很难将其识别为网络钓鱼攻击。