Los llamados ataques browser-in-the-browser son muy traicioneros, y se están usando contra los jugadores competitivos.
La casa Group-IB, experta en ciberseguridad, ha informado de la existencia de una nueva técnica de phishing de tipo "browser-in-the-browser" que "apareció de la nada" a principios de año y lleva martirizando a los usuarios/as de Steam, especialmente los de ámbitos competitivos y profesionales, todos estos meses.
Para los que llevamos décadas expuestos a los ataques de los hackers de este, nuestro Internet, las intentonas por correo que nos piden claves para acceder a nuestra cuenta del banco o la de PayPal, nos preguntan cuál es nuestro número de zapato, dónde está ese handpoke tan privado que nos hicimos en el Camino de Santiago, etc., nos parecen un poco tontas, y no nos cuesta verlas venir; pero los tiempos cambian, y los ataques de phishing son cada vez más sofisticados.
Según cuenta la empresa de seguridad, y leemos en BleepingComputer, el método para obtener los datos de turno va más allá de la fiel imitación de una página web. Se trata de toda una página montada en un navegador emergente. Con esto, los hackers consiguen simular el formulario de ingreso en Steam de forma muy realista, porque cuenta con un certificado SSL con su logo, la ventana es redimensionable y también cambia según el idioma del usuario.
En la plataforma de Valve, como decíamos más arriba, los objetivos son personas dedicadas al ámbito profesional y competitivo, que reciben mensajes directos con invitaciones a torneos. De aceptar, el mensaje les lleva directamente a ese formulario falso, que sirve para extraer los credenciales para acceder a sus cuentas de Steam; es decir, que se llevan todos los juegos vinculados, bienes virtuales y objetos del inventario (que, por si no lo sabías, pueden llegar a costar una millonada).
Para prevenir este tipo de ataques, es recomendable contar con una extensión o bloqueador de scripts, dado que usa JavaScript. Evidentemente, esto puede caer en detrimento de la funcionalidad o apariencia de otras páginas completamente fiables, pero a cambio de evitar estos problemas… De cualquier manera, si te cuesta discernir qué páginas son fiables y cuáles no, recuerda: si algo anunciado en Internet es gratis o demasiado bueno para ser verdad, tiene todas las papeletas de ser una estafa.
Pero, por favor, no olvidemos que no todos los hackers son malos. Está claro que una de las principales motivaciones para acceder a ordenadores, extraer información privada o cualquier archivo ajeno es obtener dinero a cambio (excepto en casos de espionaje gubernamental, ejem); pero muchos otros se ocupan de tareas tan puras y lindas como montar un sistema operativo en Commodore 64 o llevar Doom al ordenador de un tractor.
Imagen | Joan Gamell en Unsplash y Group-IB