Nova técnica de phishing ameaça contas do Steam

15

Prestem atenção: Há uma nova ameaça de hackers que usa a plataforma Steam numa nova técnica de phishing que pode até roubar a vossa conta, expondo dados pessoais e conteúdo de jogos.

A nova ameaça foi reportada pelo blogue do Group-IB, um grupo dedicado a prevenir e combater o ciber-crime. A nova técnica envolve usar falsas mensagens directas do Steam, a convidar jogadores para torneios online. Inicialmente, o jogador é levado para uma plataforma vistosa, onde lhe é pedido para fazer logon na sua conta Steam e até pede para usar a autenticação de dois factores (se estiver activa).

Assim que isso acontece, os hackers ganham acesso às contas de utilizador dos incautos. Daí em diante, são livres de fazer seja o que for, desde simplesmente roubar tudo, até colocar a conta sequestrada exigir um resgate para a reaver. E podem nem ficar por aqui, uma vez que com o acesso à lista de amigos na conta, podem alastrar o ataque também para esses outros utilizadores.

A técnica parece focada em jogadores competitivos que anseiam por novos torneios. E nada como um convite directo da própria plataforma Steam para encher o ego. O que acontece é que os hackers estão a usar um site falso, fazendo-se passar por site oficial, aparentemente muito credível, como podem ver na imagem partilhada pelo Group-IB:

Como podem ver, até a certificação de segurança da página está devidamente assinada pela “Valve Corp. (US)”. Acontece que esta é uma técnica de “browser in browser”, usando JavaScript. A não ser que sejam informados, muitos incautos poderão cair na armadilha, pensando que se trata de algo legítimo. Há sinais para memorizar:

    1. Mesmo que surjam em emails ou mensagens de amigos, nunca cliquem em links com endereços desconhecidos, mesmo que indiquem que são da “Valve” ou do “Steam” mas que vos mandam para urls (endereços) nada relacionados.
    2. Nunca façam logon das vossas credenciais Steam se não for na aplicação oficial para PC, via browser apenas nos sites oficiais (steampowered.com ou steamcommunity.com) ou na app oficial mobile da plataforma. Não abram nenhuma excepção neste caso.
    3. Lembrem-se que, se a Valve ou a Steam alguma vez convidar jogadores para torneios, será sempre uma comunicação via canais oficiais, nunca por portais ou sites externos.

O site do Group-IB oferece uma explicação muito detalhada de como o processo de phishing ocorre, inclusive como funciona para os utilizadores mais avançados. O que nos interessa saber é que o esquema é relativamente simples de orquestrar e muito fácil a iludir os distraídos, usando uma das maiores e mais populares plataformas de jogos para PC.

O que também interessa reter é que o processo já foi muito lucrativo para alguns piratas informáticos que já se dedicaram a vender contas roubadas, com itens raros de jogos como CS:GO, DOTA, entre outros. O esquema é tão lucrativo, pelos vistos, que os piratas até estão a recrutar.

Se, por qualquer motivo, desconfiam que a vossa conta Steam foi comprometida, se, por exemplo, fizeram login com ela em algum site de terceiros e ficaram na dúvida, não hesitem em contactar a Valve na página dedicada. Se houver alguma suspeita de infracção, no caso de terem informação bancária associada à conta, o melhor é mesmo contactar o banco para suspender cartões de crédito ou outros serviços.