Steam : les vols de compte se multiplient, quelle est la technique des pirates ?

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 15 septembre 2022 à 13h10
© Photo Oz / Shutterstock.com
© Photo Oz / Shutterstock.com

Ces derniers temps, les pirates exploitent une technique de phishing récente qui consiste à voler les identifiants des utilisateurs Steam par le biais d'une illusion informatique.

Le célèbre Steam n'a pas été épargné ces vingt dernières années par les arnaques et autres piratages des escrocs du Web. Mais depuis quelques mois, les hackers font appel à la technique dite du phishing « Browser-in-the-Browser » ou BitB, qu'on peut littéralement traduire par « navigateur dans le navigateur ». Cette technique consiste à dérober les informations d'identification des utilisateurs de la plateforme de jeux vidéo en leur soumettant une copie quasi-parfaite d'une page Steam. S'il existe bien des « trucs » pour détecter la fausse page, le procédé est diablement efficace.

Des pirates qui appâtent les joueurs avec des propositions ou des événements attractifs

Cette technique de phishing, récente, fut découverte au début de l'année par le chercheur mrd0x. Les pirates l'utilisent en créant une fausse fenêtre de navigateur, mais pas un « navigateur » au sens propre, plus ici une fenêtre de navigation associée à un service qui peut être une page Facebook, Google, Outlook ou encore Steam. Si l'on compare la fenêtre imitée à la vraie, il est quasi impossible de les dissocier.

Dans le cas de Steam, qui utilise une fenêtre contextuelle pour aider ses utilisateurs à s'authentifier plutôt qu'un nouvel onglet, les hackers ont vu une opportunité. L'arnaque a été identifiée sur la plateforme du groupe Valve par le groupe de surveillance informatique Group-IB, qui a évidemment prévenu l'éditeur de la menace.

La question que tout le monde se pose à présent : comment attirer les victimes vers une fausse page web qui contient un bouton de connexion ? Avec Steam, les pirates ont compris qu'il fallait appâter les joueurs avec des propositions attractives. Ils leur envoient alors des messages en leur proposant par exemple de rejoindre une équipe pour participer à un tournoi de League of Legends (LoL), de Counter Strike, de Dota 2 ou PUBG. D'autres propositions, comme la possibilité de voter pour son équipe préférée ou d'acheter des billets à prix réduit pour des événements de e-Sport, sont aussi relayées auprès des utilisateurs.

L'un des appâts des hackers © Group-IB
L'un des appâts des hackers © Group-IB

Il existe aussi le cas où les viewers d'une vidéo YouTube soi-disant diffusée en live (mais en fait enregistrée) ont pu être invités à cliquer sur un lien présent en description pour obtenir un skin gratuit dans CS:GO. Le site web de phishing s'affichait également à l'écran.

Une technique qui éteint tous les soupçons (ou presque) rencontrés dans le phishing « traditionnel »

Group-IB nous explique que tous les boutons (ou presque) des pages web appâts ouvrent directement un formulaire de saisie de données de compte qui imite évidemment une fenêtre Steam légitime, avec un faux signe de verrouillage vert et un faux champ d'URL qu'il est possible de copier. Les pirates ont même imité la fenêtre d'authentification à double facteurs de la plateforme, Steam Guard, pour étendre leur champ d'action.

Alors qu'habituellement, les pirates essaient de pousser les victimes à ouvrir des pages web de phishing dans un nouvel onglet, les attaques Browser-in-the-Browser ouvrent une fausse fenêtre de navigateur directement dans le même onglet, ce qui peut plus facilement convaincre les utilisateurs que la page est bien légitime. Autre coup de force des hackers : la fenêtre illégitime permet même de basculer d'une langue à une autre, 27 étant au total proposées. Elles sont toutes fonctionnelles et la langue initiale est même choisie de façon automatique, grâce aux préférences du navigateur.

Une demande de code 2FA sur une ressource de phishing © Group-IB

Sur la capture d'écran proposée par Group-IB, on note que l'URL contenue dans la barre d'adresse de la fenêtre contextuelle est identique à celle du lien légitime. C'est aussi une vraie différence par rapport au hameçonnage traditionnel, où l'URL affichée est différente de l'URL légitime, ce qui éveille plus facilement les soupçons.

Autre différence notable : la certification SSL. Dans un cas de phishing classique, la ressource à l'origine de la page illégitime ne peut pas émettre ce certificat. Et malheureusement, le phishing du navigateur dans le navigateur offre la possibilité au pirate d'afficher le petit cadenas verrouillé de sécurité.

Comment peut-on détecter ces fausses fenêtres ?

Si la fenêtre est fausse, les boutons servant à la réduire et à la fermer fonctionnent, ou tout du moins donnent lieu à une action, ce qui renforce la crédibilité de la technique. Très souvent, les pages de phishing BitB vont même jusqu'à contenir une alerte visant à informer les utilisateurs sur les données enregistrées par la ressource tierce, ce qui est assez pervers mais qui, ici aussi, renforce l'impression d'être sur une fenêtre Steam légitime.

© Group-IB

Une fois les données d'identification saisies par la victime, celles-ci sont directement envoyées aux cyberattaquants. Si la personne piégée a protégé son compte à l'aide de l'authentification renforcée, la ressource envoie alors une demande de code, code créé à l'aide d'une application distincte, qui envoie une notification push à l'appareil de la victime. Une technique qui va loin donc, mais qui n'est pas totalement infaillible.

Il est en effet possible d'identifier une fausse fenêtre de navigateur, de plusieurs façons :

  • On le voit sur la dernière capture d'écran, mais la conception de l'en-tête et la barre d'adresse de la fenêtre contextuelle sont légèrement différentes. Veillez à bien regarder la police d'écriture ou le design des boutons de commande, qui peuvent être légèrement différents des originaux.
  • Pensez toujours à vérifier si une nouvelle fenêtre s'est bien ouverte dans la barre des tâches. Si ce n'est pas le cas, alors c'est que la fenêtre est fausse.
  • La taille de la fenêtre est sans doute l'élément le plus efficace. Essayez de la redimensionner. Si vous n'y parvenez pas, c'est qu'elle n'est pas légitime. Même chose d'ailleurs en essayant de déplacer la fenêtre. Si vous ne pouvez pas la déplacer sur les éléments de contrôle de la fenêtre initiale, c'est qu'elle est fausse.
  • Le cas échéant, vous vous apercevrez qu'une fenêtre est fausse si le clic sur le bouton « réduire » de cette dernière la ferme purement et simplement.
  • Nous vous parlions tout à l'heure du certificat SSL. Dans le cas d'un phishing BitB, le symbole de verrouillage n'est en fait qu'une banale image. Vous le remarquerez en cliquant dessus, puisque rien ne se passera. Un vrai navigateur vous laisse l'accès aux informations du certificat sur un simple clic.
  • Une fausse barre d'adresse n'est par principe pas fonctionnelle, donc elle ne vous permettra pas de saisir une URL différente. Et si malgré tout vous y parvenez, vous remarquerez qu'il sera impossible de l'ouvrir dans la même fenêtre.
  • Enfin, si vous prenez la peine de désactiver l'exécution des scripts JavaScript depuis les paramètres de votre navigateur, vous ne pourrez pas afficher les fausses fenêtres.

Source : Group-IB

Par Alexandre Boero
Journaliste-reporter, responsable de l'actu
XLinkedIn

Journaliste, responsable de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero
Cyber sécurité
Steam
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
Popoulo

Me suis arrêté à « phishing ».

Kriz4liD

Les techniques sont bien rôdées , créer un site qui ressemble à une interface légitime est tellement facile .
Le fishing marche car les cibles sont des jeunes ados qui souhaites avoir des skins et des jeux gratos, ils click n’importe ou et valident n’importe quoi!
J avais surpris mon fils entrain desssayer de télécharger stickiman depuis un site pirate !!! Je lui ai d’abord expliqué qu’il faut faire attention car il peut y avoir des grosses saletés qui pourrait ruiner sa vie , puis je lui ai montré le bon site pirate a utiliser🫣

d0na55

la piraterie n’est pas finie

_Troll

Quand ils arrivent a voler les identifications de connwxion, apres ils en fond quoi ?

xryl

C’est diabloment efficace comme technique. Les joueurs se retrouvent dans le blizzard après. C’est valve qui va perdre l’e-steam des joueurs s’ils ne réagissent pas.

xryl

Ils vident les comptes préchargés. Ils achètent des jeux qu’ils ont eux même produit (ou un contact qui leur reverse une partie), bref, c’est pas le loto, mais une fois multiplié par le nombre de poissons, ça doit quand même rapporter pas mal vu le travail réalisé pour l’arnaque.

AlexLex14

En une phrase : certains comptes Steam vaudraient des dizaines, voire des centaines de milliers d’euros…

Le reste, tu l’as deviné :wink:

xryl

Une technique toute simple contre ce genre de pratique: utiliser linux vu le bordel du desktop sous linux, c’est quasiment impossible de savoir quelle est la décoration de vos fenêtres (et donc de les imiter). Sinon, je suppose qu’il doit y avoir des outils pour changer le thème des bords des fenêtres sous Windows aussi.

SplendoRage

Il y a encore mieux. Simplement passer par l’app officielle de Steam et c’est marre !
Si c’est pas dans le store, c’est que c’est pas officiel …

zeebix

Comment ils contournent steam guard ?

Sur le même sujet
Comment les cookies permettent de déjouer l'authentification à plusieurs facteurs
3 commentaires
Google Chrome 104 est disponible, découvrez toutes les nouveautés
5 commentaires
Attention à ce scam qui a déjà fait 10 millions de victimes sur Facebook
9 commentaires
Voici à quoi ressemble le navigateur signé DuckDuckGo
5 commentaires
BitB : nouvelle technique de phishing pour récupérer votre mot de passe
16 commentaires
Facebook
X