Phishing-Maschen sind beinahe so alt wie das Internet selbst und sind auf eine negative Art nicht mehr wegzudenken. Waren die Angriffe noch vor wenigen Jahren plump und uninspiriert, muss man mittlerweile oftmals genauer hinschauen, um den Betrug zu durchschauen. Glücklicherweise finden sich mittlerweile unzählige Phishing-Ratgeber, die dir verraten, worauf du achten solltest. Nur leider entwickeln sich auch die Cyberkriminellen weiter. Im Frühling 2022 entdeckte ein Sicherheitsforscher daher eine vollkommen neuartige Phishing-Masche, die aktuell verstärkt ihre digitalen Runden dreht. Im Fokus stehen dabei Steam-Nutzer, die ihre Konten und folglich auch alle ihre Spiele verlieren könnten.
Steam-Nutzer im Fokus – so funktioniert die neue Phishing-Masche
Forscher des Sicherheitsunternehmens Group-IB haben sich ausführlicher mit der neuartigen Phishing-Vorgehensweise befasst, die mittlerweile als Browser-in-the-Browser-Angriffe (BITB) bekannt ist. Dabei bedienen sich die Kriminellen der Tatsache, dass Steam ein Pop-up-Fenster für das Login-Verfahren verwendet. Und dieses ist den Anwendern natürlich wohlvertraut. Daher machen sie sich auch keine weiteren Gedanken, wenn sie das übliche Fenster einmal mehr zu Gesicht bekommen – zumal die Optik haargenau der von Steam gleicht und selbst die URL korrekt ist. Doch wie ist das möglich?
In einem ersten Schritt klickt ein Opfer auf eine Phishing-URL. Diese verschicken die Cyberkriminellen nicht etwa mittels E-Mails, sondern verteilen sie schlicht im Internet. Beispielsweise unter Gameplay-Videos auf YouTube, in Foren oder in Chats. Dabei locken die Kriminellen stets mit Gaming-Vorteilen, wie etwa attraktiven Steam-Angeboten, Discount-Tickets zu E-Sports-Events oder schlicht Votings für das eigene Lieblingsteam. Wurde der Klick getätigt, öffnet sich ein neues Tab-Fenster sowie das Steam-Anmelde-Pop-up. Nur handelt es sich dabei nicht um ein echtes Pop-up-Fenster. Dieses stellt schlicht ein „interaktives“ Element des Tabs dar und lässt sich daher nach Belieben gestalten. Bedeutet konkret: Das Fake-Fenster verfügt über eine richtige Steam-URL, ein SSL-Schloss und auch sonst alle weiteren Merkmale eines echten Steam-Pop-ups.
Wer nicht mit der Masche vertraut ist, trägt im nächsten Schritt seine Anmeldedaten in die Maske ein, die auch in Echtzeit an Steam geschickt und „validiert“ werden. Sind die Anmeldedaten falsch, erscheint ein Error. Wurde das Konto indes mit einer Zwei-Faktor-Authentifizierung (2FA) geschützt, wird auch diese abgefragt – diese Hürde stellt also ebenfalls kein sonderlich großes Problem dar. Und ist diese erst einmal überwunden, haben die Cyberkriminellen vollen Zugriff.
So schützt du dein Steam-Konto
Die Browser-in-the-Browser-Masche ist brandgefährlich, allerdings nur, solltest du nicht mit dieser vertraut sein. Denn es existieren zahlreiche Möglichkeiten, sich von der Echtheit des Pop-up-Fensters zu überzeugen. Zunächst einmal können die Betrüger zwar die URL des Anmeldefensters fälschen, jedoch nicht die des eigentlichen Tabs. Es gilt also, auf die oben angegebene Adresse zu achten. Ferner wird das Fake-Fenster nicht in der Taskleiste angezeigt und kann auch nicht über das Browser-Fenster hinaus gezogen werden. Zu guter Letzt scheinen die eingeblendeten Steuerungselemente und nicht immer ordnungsgemäß zu funktionieren, während ein Klick auf das SSL-Schloss keine weiterführenden Informationen offenbart. Diese Elemente können jedoch teilweise nachgebessert werden, sodass du dich lieber auf die erstgenannten Merkmale verlassen solltest. Dann verbleibt dein Steam-Konto auch künftig in deinem Besitz.
