روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ سرویس‌های توزیع گیم‌های دیجیتال نه تنها فروشِ خودِ بازی‌ها را ساده‌تر ساخته‌اند که حتی کاری کرده‌اند که توسعه‌دهندگان به اهرم‌های پولسازی جدیدی نیز دست یابند. برای مثال، آیتم‌های درون‌گیمی (مانند جان بیشتر، اکسیر، اسلحه، سپر و غیره) می‌توانند با قیمت هنگفتی فروخته شوند. خودِ کاربران نیز می‌توانند این آیتم‌ها را به همدیگر بفروشند و خوب می‌دانید که هر جا که بوی پول به مشام برسد، سر و کله‌ی اسکمرها هم پیدا می‌شود. اسکمرها همیشه در تلاشند تا با در اختیار گرفتن اطلاعات لاگین، تمام تجهیزات کاراکترهای قربانیان را بدزدند و هر آیتم درون‌گیمی‌ای را که با زحمت فراوان و پول بسیار بدست آورده‌اند به یغما ببرند.

یکی از محبوب‌ترین پلت‌فرم‌ها میان کاربران (که این مساویست با محبوب‌ترین پلت‌فرم‌های مجرمان سایبری) Steam نام دارد. ما با بررسی این پلت‌فرم (بستری برای بازی گیم، چت‌های گیمی و ساخت گیم)، نقشه‌های فریب و تلکه کردن کاربران را توسط مجرمان کشف کردیم. در حقیقت می‌توان گفت از ماه ژوئن این حملات (در مقایسه با حملات قبلی) شدیدتر، مکررتر و پیچیده‌تر شده است. 

همه‌اش از یک فروشگاه آنلاین شروع شد

اسکمی که کشف کردیم درست مانند بقیه‌ی اسکم‌ها مبتنی بر فیشینگ است. مهاجمین، کاربران را با دوز و کلک مجاب به بازدید وبسایت‌هایی می‌کنند که به شدت شبیه فروشگاه‌های آنلاین هستند (در این مورد خاص منظورمان Steam است؛ سایتی که ظاهراً آیتم‌های درون‌گیمی عرضه می‌کند). این منابع تقلبی از کیفیت ساختاری بالایی برخوردارند و برخی‌اوقات تشخیص آن‌ها از سایت‌های واقعی و معتبر بسیار بسیار سخت است. چنین سایت‌های فیشینگی:

• بسیار خوش‌ساختند، فرقی هم ندارد کپی شده‌ باشند یا ایده‌ی ساختشان از خود اسکمرها باشد.
• گواهی امنیت دارند و از HTTPS پشتیبانی می‌کنند.
• در مورد استفاده از کوکی‌ها هشدار می‌دهند.
• یک سری لینک به وبسایت اصلی می‌دهند (که البته وقتی رویشان کلیک می‌شود به هیچ جای خاصی راه پیدا نمی‌کنند).

هرقدر کاربر وقت بیشتری را در سایت بگذراند، بیشتر احتمال دارد به مورد مشکوکی برخورد کند. بنابراین، اسکمرها نمی‌خواهند کاربران توقف طولانی داشته باشند، از این روست که اصولاً سایت‌های فیشینگ همیشه امورشان را با ضرب‌الاجل انجام می‌دهند: کاربر با کلیک روی هر لینکی، بلافاصله پنجره‌ای را می‌بیند که درخواست نام‌کاربری و رمزعبور Steam او را کرده است. شاید همین یک مورد به تنهایی، کاربر را دچار شک و سوءظن نکند. لاگین کردن به یک سرویس از طریق اکانتی دیگر (فیسبوک، گوگل و غیره) بسیار معمول است و خوب اکانت‌های Steam نیز به طور مشابهی می‌توانند برای لاگین شدن به منابع طرف‌سوم مورد استفاده قرار گیرند. تا حد زیادی به این دلیل که این پلت‌فرمِ (فرضاً) تجاری برای به چنگ آوردن اطلاعات کاربر در خصوص اینکه چه آیتم‌هایی برای شخصیت‌های گیم‌شان خریده‌اند، ابتدا باید به اکانت او دسترسی پیدا کنند.

پنجره‌ی جعلیِ لاگین/پسورد به پنجره‌ی واقعی و قانونی‌اش بسیار شبیه است: نوار آدرسش حاوی URL درست و صحیحی از پورتال Steam  بوده، صفحه از طراحی تطبیقی و آداپتیوی برخوردار است و اگر کاربر لینک را در مرورگر دیگری و با زبان رابط دیگری باز کند، محتوا و عنوان صفحه‌ی تقلبی مطابق با محل جدید تغییر پیدا می‌کند.

با این حال، راست‌کلیک کردن روی عنوان این پنجره (یا کنترل المان‌ها) منوی استاندارد زمینه‌ را برای صفحات وبی نشان می‌دهد و انتخاب view code، جعلی بودنِ پنجره را آشکار می‌سازد؛ پنجره‌ای که با استفاده از HTML و  CSS اجرا می‌شد.

در یکی از موارد، نام کاربری و رمزعبور با استفاده از متود POST آن هم از طریق API روی دامنه‌ای دیگر (که از قضا دوباره متعلق به اسکمرهاست) انتقال داده می‌شوند.  

این فرم لاگینِ جعلی با توجه به این حقیقت که اطلاعاتِ واردشده با استفاده از سرویس‌های اصلی تأیید می‌شوند، اعتبار بیشتری نیز دریافت می‌کند. اگر کاربر، نام کاربری و رمزعبور را اشتباه وارد کند، برای او پیام خطا نمایش داده می‌شود. 

وقتی رمزعبور و نام‌کاربری معتبری وارد می‌شود، سیستم آنگاه درخواستِ کد احراز هویت دو عاملی را می‌کند که با ایمیل ارسال و یا در اپ Steam Guard ساخته شده است. واضح است که کد واردشده همچنین به اسکمرها فوروارد می‌شود؛ اسکمرهایی که در نتیجه نظارت کاملی روی اکانت پیدا می‌کنند:  

انواع دیگر

مجرمان سایبری علاوه بر ساخت پنجره‌های پیچیده‌ی لاگین (با استفاده از HTML و CSS) همچنین این ترفندِ قدیمی اما کارامدِ فرمِ جعلی را در پنجره‌ی مجزا نیز به کار می‌گیرند (اما با ارزش آدرسِ خالی). اگرچه این متود نمایش پنجره متفاوت است؛ اما اصول عملیاتی هنوز مثل اصول فوق می‌باشد. این فرم، داده‌های واردشده را تأیید می‌کند و چنانچه نام کاربری و رمزعبور با هم تطابق نداشته باشند قربانی مجبور می‌شود کد احراز هویت دو عاملی را وارد کند.  

چطور ایمن بمانیم

توصیه‌ی ما در این خصوص درست مثل توصیه‌ی ما در خصوص بقیه‌ی سایت‌های فیشینگ است: حواستان به نوار آدرس و محتوای آن باشد. در مثالِ ما، این شامل یو‌آرالِ محتوا می‌شد اما متغیرهای کمتر پیچیده بیشتر معمولند- مثلاً شاید آدرس وبسایت با نام فروشگاه تطابق نداشته باشد یا کلمات about:blank را نمایش دهد.

به فرم‌های لاگینِ منابع خارجی دقت زیاد کنید. روی نوار عنوان پنجره‌ی حاوی فرم راست‌کلیک کنید و یا سعی کنید آن را بیرون از پنجره‌ی اصلی مرورگر بکشید تا مطمئن شوید تقلبی نیست. افزون بر این اگر شک کردید که پنجره‌ی لاگین واقعی نیست، صفحه‌ی اصلی Steam را در پنجره‌ی مرورگر جدیدی باز کرده و از آنجا به اکانت خود لاگین شوید. سپس به فرم لاگین مشکوک بازگردید و صفحه را رفرش کنید. اگر واقعی باشد، پیامی خواهد آمد با این مضمون که شما همین الانش هم لاگین کرده‌اید. اگر همه‌چیز به نظر طبیعی می‌آمد اما هنوز هم کمی شک داشتید، با استفاده از WHOIS دامنه را چک کنید. شرکت‌های اصلی و معتبر دامنه‌های کوتاه‌مدت درست ننموده و همچنین هیچگاه اطلاعات تماس خود را نیز مخفی نمی‌کنند. از طریق Steam Guard احراز هویت دو عاملی را فعالسازی کرده و توصیه‌های خود Steam را دنبال نموده و در آخر اینکه سعی کنید از یک راه‌حل امنیتی مجهز به فناوری ضد فیشینگ استفاده نمایید.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.