Steam : les vols de compte se multiplient, quelle est la technique des pirates ?

15 septembre 2022 à 13h10
23
Steam © Photo Oz / Shutterstock.com
© Photo Oz / Shutterstock.com

Ces derniers temps, les pirates exploitent une technique de phishing récente qui consiste à voler les identifiants des utilisateurs Steam par le biais d'une illusion informatique.

Le célèbre Steam n'a pas été épargné ces vingt dernières années par les arnaques et autres piratages des escrocs du Web. Mais depuis quelques mois, les hackers font appel à la technique dite du phishing « Browser-in-the-Browser » ou BitB, qu'on peut littéralement traduire par « navigateur dans le navigateur ». Cette technique consiste à dérober les informations d'identification des utilisateurs de la plateforme de jeux vidéo en leur soumettant une copie quasi-parfaite d'une page Steam. S'il existe bien des « trucs » pour détecter la fausse page, le procédé est diablement efficace.

Des pirates qui appâtent les joueurs avec des propositions ou des événements attractifs

Cette technique de phishing, récente, fut découverte au début de l'année par le chercheur mrd0x. Les pirates l'utilisent en créant une fausse fenêtre de navigateur, mais pas un « navigateur » au sens propre, plus ici une fenêtre de navigation associée à un service qui peut être une page Facebook, Google, Outlook ou encore Steam. Si l'on compare la fenêtre imitée à la vraie, il est quasi impossible de les dissocier.

Dans le cas de Steam, qui utilise une fenêtre contextuelle pour aider ses utilisateurs à s'authentifier plutôt qu'un nouvel onglet, les hackers ont vu une opportunité. L'arnaque a été identifiée sur la plateforme du groupe Valve par le groupe de surveillance informatique Group-IB, qui a évidemment prévenu l'éditeur de la menace.

La question que tout le monde se pose à présent : comment attirer les victimes vers une fausse page web qui contient un bouton de connexion ? Avec Steam, les pirates ont compris qu'il fallait appâter les joueurs avec des propositions attractives. Ils leur envoient alors des messages en leur proposant par exemple de rejoindre une équipe pour participer à un tournoi de League of Legends (LoL), de Counter Strike, de Dota 2 ou PUBG. D'autres propositions, comme la possibilité de voter pour son équipe préférée ou d'acheter des billets à prix réduit pour des événements de e-Sport, sont aussi relayées auprès des utilisateurs.

message Steam © Group-IB
L'un des appâts des hackers © Group-IB

Il existe aussi le cas où les viewers d'une vidéo YouTube soi-disant diffusée en live (mais en fait enregistrée) ont pu être invités à cliquer sur un lien présent en description pour obtenir un skin gratuit dans CS:GO. Le site web de phishing s'affichait également à l'écran.

Une technique qui éteint tous les soupçons (ou presque) rencontrés dans le phishing « traditionnel »

Group-IB nous explique que tous les boutons (ou presque) des pages web appâts ouvrent directement un formulaire de saisie de données de compte qui imite évidemment une fenêtre Steam légitime, avec un faux signe de verrouillage vert et un faux champ d'URL qu'il est possible de copier. Les pirates ont même imité la fenêtre d'authentification à double facteurs de la plateforme, Steam Guard, pour étendre leur champ d'action.

Alors qu'habituellement, les pirates essaient de pousser les victimes à ouvrir des pages web de phishing dans un nouvel onglet, les attaques Browser-in-the-Browser ouvrent une fausse fenêtre de navigateur directement dans le même onglet, ce qui peut plus facilement convaincre les utilisateurs que la page est bien légitime. Autre coup de force des hackers : la fenêtre illégitime permet même de basculer d'une langue à une autre, 27 étant au total proposées. Elles sont toutes fonctionnelles et la langue initiale est même choisie de façon automatique, grâce aux préférences du navigateur.

page phishing Steam © Group-IB
Une demande de code 2FA sur une ressource de phishing © Group-IB

Sur la capture d'écran proposée par Group-IB, on note que l'URL contenue dans la barre d'adresse de la fenêtre contextuelle est identique à celle du lien légitime. C'est aussi une vraie différence par rapport au hameçonnage traditionnel, où l'URL affichée est différente de l'URL légitime, ce qui éveille plus facilement les soupçons.

Autre différence notable : la certification SSL. Dans un cas de phishing classique, la ressource à l'origine de la page illégitime ne peut pas émettre ce certificat. Et malheureusement, le phishing du navigateur dans le navigateur offre la possibilité au pirate d'afficher le petit cadenas verrouillé de sécurité.

Comment peut-on détecter ces fausses fenêtres ?

Si la fenêtre est fausse, les boutons servant à la réduire et à la fermer fonctionnent, ou tout du moins donnent lieu à une action, ce qui renforce la crédibilité de la technique. Très souvent, les pages de phishing BitB vont même jusqu'à contenir une alerte visant à informer les utilisateurs sur les données enregistrées par la ressource tierce, ce qui est assez pervers mais qui, ici aussi, renforce l'impression d'être sur une fenêtre Steam légitime.

fenêtre Steam authentification © Group-IB
© Group-IB

Une fois les données d'identification saisies par la victime, celles-ci sont directement envoyées aux cyberattaquants. Si la personne piégée a protégé son compte à l'aide de l'authentification renforcée, la ressource envoie alors une demande de code, code créé à l'aide d'une application distincte, qui envoie une notification push à l'appareil de la victime. Une technique qui va loin donc, mais qui n'est pas totalement infaillible.

Il est en effet possible d'identifier une fausse fenêtre de navigateur, de plusieurs façons :

  • On le voit sur la dernière capture d'écran, mais la conception de l'en-tête et la barre d'adresse de la fenêtre contextuelle sont légèrement différentes. Veillez à bien regarder la police d'écriture ou le design des boutons de commande, qui peuvent être légèrement différents des originaux.
  • Pensez toujours à vérifier si une nouvelle fenêtre s'est bien ouverte dans la barre des tâches. Si ce n'est pas le cas, alors c'est que la fenêtre est fausse.
  • La taille de la fenêtre est sans doute l'élément le plus efficace. Essayez de la redimensionner. Si vous n'y parvenez pas, c'est qu'elle n'est pas légitime. Même chose d'ailleurs en essayant de déplacer la fenêtre. Si vous ne pouvez pas la déplacer sur les éléments de contrôle de la fenêtre initiale, c'est qu'elle est fausse.
  • Le cas échéant, vous vous apercevrez qu'une fenêtre est fausse si le clic sur le bouton « réduire » de cette dernière la ferme purement et simplement.
  • Nous vous parlions tout à l'heure du certificat SSL. Dans le cas d'un phishing BitB, le symbole de verrouillage n'est en fait qu'une banale image. Vous le remarquerez en cliquant dessus, puisque rien ne se passera. Un vrai navigateur vous laisse l'accès aux informations du certificat sur un simple clic.
  • Une fausse barre d'adresse n'est par principe pas fonctionnelle, donc elle ne vous permettra pas de saisir une URL différente. Et si malgré tout vous y parvenez, vous remarquerez qu'il sera impossible de l'ouvrir dans la même fenêtre.
  • Enfin, si vous prenez la peine de désactiver l'exécution des scripts JavaScript depuis les paramètres de votre navigateur, vous ne pourrez pas afficher les fausses fenêtres.

Source : Group-IB

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
23
15
Popoulo
Me suis arrêté à « phishing ».
Kriz4liD
Les techniques sont bien rôdées , créer un site qui ressemble à une interface légitime est tellement facile .<br /> Le fishing marche car les cibles sont des jeunes ados qui souhaites avoir des skins et des jeux gratos, ils click n’importe ou et valident n’importe quoi!<br /> J avais surpris mon fils entrain desssayer de télécharger stickiman depuis un site pirate !!! Je lui ai d’abord expliqué qu’il faut faire attention car il peut y avoir des grosses saletés qui pourrait ruiner sa vie , puis je lui ai montré le bon site pirate a utiliser🫣
d0na55
la piraterie n’est pas finie
octokitty
Il y a cybersquatting/parasitage sur le domaine, et puisque les marques de groupes relativement petits n’ont pas une protection du nom, il est assez facile de réserver un même domaine sous un autre TLD.<br /> Le site officiel challengermode.COM a pour registrar : Ascio Technologies Inc, Danmark<br /> Le site illégitime challengermode.RED a pour registrar : Hosting Ukraine LLC.<br /> Challengermode est basé à Stockholm, Suède.<br /> Et le navigateur de l’overlay Steam ne dispose pas de protection contre les sites malveillants.<br /> Il est aussi possible que la délivrance de certificats SSL ne soient pas regardante sur cet aspect, et pire ça peut même être généré par n’importe qui avec LetsEncrypt.
_Troll
Quand ils arrivent a voler les identifications de connwxion, apres ils en fond quoi ?
xryl
C’est diabloment efficace comme technique. Les joueurs se retrouvent dans le blizzard après. C’est valve qui va perdre l’e-steam des joueurs s’ils ne réagissent pas.
xryl
Ils vident les comptes préchargés. Ils achètent des jeux qu’ils ont eux même produit (ou un contact qui leur reverse une partie), bref, c’est pas le loto, mais une fois multiplié par le nombre de poissons, ça doit quand même rapporter pas mal vu le travail réalisé pour l’arnaque.
AlexLex14
En une phrase : certains comptes Steam vaudraient des dizaines, voire des centaines de milliers d’euros…<br /> Le reste, tu l’as deviné
xryl
Une technique toute simple contre ce genre de pratique: utiliser linux vu le bordel du desktop sous linux, c’est quasiment impossible de savoir quelle est la décoration de vos fenêtres (et donc de les imiter). Sinon, je suppose qu’il doit y avoir des outils pour changer le thème des bords des fenêtres sous Windows aussi.
SplendoRage
Il y a encore mieux. Simplement passer par l’app officielle de Steam et c’est marre !<br /> Si c’est pas dans le store, c’est que c’est pas officiel …
zeebix
Comment ils contournent steam guard ?
xryl
Ils ne contournent pas Steam Guard. Ils te présentent une fenêtre qui ressemble à Steam Guard, tout en entrant les identifiants que tu as donné préalablement sur la vrai page de Steam Guard (via leurs serveurs). Du coup, tu reçois un code de Steam (même s’il a été demandé par leur serveur et pas par toi). Comme tu fais pas gaffe que c’est pas la bonne page (après tout, elle y ressemble comme 2 gouttes d’eau), tu tapes le code que tu as reçu par SMS ou via l’appli Steam de génération de code, dans leur page. Dès que tu l’as tapé, ils l’ont et leur serveur va se connecter à ta place avec ton code (qui reste valable un certain temps). Bref, c’est game over, je ne sais pas s’ils ont poussé le vice à reproduire la page de login successful de Steam histoire que tu ne te doute de rien.<br /> Si Steam envoyait un mail qui disait que tu t’es connecté, avec l’origine de la connexion, tu te rendrais compte que tu ne te serais pas connecté de chez toi, mais de leurs serveurs.
cid1
Hier, je me suis connecté à Steam par l’appli téléchargée pour Windows, et là j’ai découvert que quelqu’un avait essayé de s’approprier mon compte, sur lequel je n’ai ni argent ni mode de paiement, heureusement Steamguard a repéré le truc et à envoyé celui-ci dans sa grotte, j’ai eu une tentative de phishing particulière sur ma mutualité, le ou les pirates ont envoyés un mail qui demandait de se connecter sur sa mutuelle, sauf que ce mail était de temps en temps écrit avec un caractère chinois, j’ai supprimé le mail et hop la, casse toi le chinuuse pirate.
March_Malow
…ensuite le propriétaire réinitialise son mot de passe et l’histoire est finie.<br /> Et même si ils ont le temps de dérober les informations bancaires (à condition qu’elles ai été enregistrées), il suffit d’activer les validations de paiements de la banque pour qu’ils ne puissent rien faire avec.<br /> Bref le piratage est facilement évitable mais cela passe par une bonne « hygiène numérique ».<br /> Si le piratage a encore de beaux jours devant lui, c’est uniquement à cause du manque de bonnes pratiques de la part des utilisateurs, et ce n’est pas la sensibilisation qui manque aujourd’hui.<br /> Mais bon les technologies évoluent vite et je ne doute pas qu’un jour le piratage deviendra impossible, ou bien à minima trop difficile pour demeurer lucratif.
Aegis
@AlexLex14 chapeau pour l’article.<br /> C’est un type d’attaque récent, bien expliqué et les solutions sont documentées. <br /> As-tu un blog ou des articles ailleurs sur la vulgarisation de la cyber sécurité? J’ai l’impression que tu as la fibre
Fitz557
Merci pour cet article ! Il est vachement bien foutu, ça fait plaisir à lire
pecore
Ou à la rigueur, si pour quelques raisons tu te trouves sur le site Steam et non l’app et que tu vois quelque chose qui t’intéresse, basculer sur l’app pour voir si l’offre s’y trouve aussi.
AlexLex14
C’est gentil ça, merci beaucoup
pecore
Je plussoie sur plusieurs messages : merci pour l’article clair et explicite.<br /> Merci aussi de ne pas avoir cédé à la tentation du sensationnalisme en mettant un titre qui laisserait entendre, mais sans le dire explicitement, que Valve serait en partie responsable de ces piratage. Tout le monde n’a pas votre professionnalisme.
AlexLex14
Salut, et merci beaucoup pour ces gentils mots agréables à lire <br /> J’ai beaucoup écrit déjà avec CluClu sur la cyber, mais sinon, j’ai tenté une petite vidéo sur ma chaîne YouTube perso sur les mots de passe (un truc de base en me disant que le grand public voudrait peut-être des conseils sur le sujet), mais j’ai l’impression que ce n’est pas vraiment le public (sur YouTube)… Elle est par ici la vidéo, avec quelques conseils utiles &gt; Comment protéger efficacement vos mots de passe ? Mes 8 conseils ! - YouTube<br /> Sinon, il y a bientôt les Assises de la sécurité et nous serons sur place, avec de beaux sujets fournis à venir sur le sujet sur Clubic
AlexLex14
Merci à toi aussi @pecore pour ces encouragements
Cleever
Pas mal de techniques… Sinon faut juste pas répondre aux inconnus
Voir tous les messages sur le forum

Derniers actualités

Immersion, traduction... Google continue de révolutionner la recherche
Fire TV : Amazon dégaine une nouvelle box et un téléviseur QLED
Amazon met à jour ses enceintes Echo avec de tout nouveaux modèles
Réveillez-vous avec Halo Rise, le premier réveil connecté d'Amazon
Enfin ! Vous allez pouvoir réagir aux messages d'un iPhone depuis Android
Android : les développeurs abandonnent de plus en plus leurs applications, et c'est un vrai problème
Citroën entame son renouveau électrique avec... un vieux logo
VKontakte, le plus grand des réseaux sociaux russes, supprimé de l'App Store
Bientôt un écran de verrouillage type iOS 16 sur les Samsung ?
Véhicules électriques : BMW est très, très contente
Haut de page