在數位娛樂盛行的時代,線上遊戲早已成為許多台灣年輕人生活中的一部分。從 MMORPG 到 MOBA、射擊類遊戲,每位玩家都在虛擬世界中打造屬於自己的角色與戰績。對許多玩家來說,線上遊戲早已不只是打發時間的工具,而是生活中的一部分。下班下課後,打開電腦或手機,跟線上的朋友組隊打副本、聊天打屁,成了紓壓的管道,也是與朋友維繫感情的一種方式。有些人甚至因為遊戲,認識了現實中的摯友。
然而,隨著遊戲產業的興盛,帳號安全問題也越來越受到關注,許多玩家在投入大量時間與金錢後,卻因帳號遭駭、被盜用而損失慘重,心力交瘁。
駭客技術日益進步,許多帳號被盜的案例也與釣魚網站、惡意外掛及社群詐騙有關。例如,一些詐騙者會偽裝成官方客服,透過私訊要求提供帳號資料;或是假冒好友請求登入不明網站領取虛寶,一旦玩家掉以輕心,就可能導致帳號外洩。
帳號被盜的痛苦,不只是虛擬財產的損失,更是多年熱情與心血的消失。線上遊戲的快樂應建立在安全與信任之上,唯有玩家與平台共同努力,才能打造一個更加健康、安心的遊戲環境。
以下說明一起駭客鎖定絕對武力2(Counter-Strike 2,CS2)遊戲的玩家,騙取STEAM帳密的事件。
免費遊戲宣傳活動
網頁的內容是利用CS2的NAVI電競戰隊形象做宣傳,並藉由免費的遊戲體驗來吸引玩家,當玩家選取武器裝備後並點擊下面登入STEAM的button後,會出現一個類似瀏覽器開啟的STEAM登入視窗,裡面會需要輸入STEAM的帳密做登入,當玩家輸入帳密後,那不幸的帳密資料就被駭客竊取了。
駭客使用BITB(BROWSER-IN-THE-BROWSER)攻擊手法
這個STEAM登入視窗看起來沒什麼問題,網址看起來也完全正確。乍看之下確實沒有什麼異常,仔細看跳出來的瀏覽器小視窗,並非是瀏覽器開啟的視窗,而是用前端技術生成的,由於非常逼真,容易讓使用者降低戒心輸入帳號密碼。這種在瀏覽器內模擬瀏覽器開啟合法網域視窗來騙取帳號密碼的網路釣魚技術,稱之為BITB(BROWSER-IN-THE-BROWSER)攻擊。
仔細觀察用前端技術生成的登入視窗有許多破綻,像是點擊網址的輸入框查看時會發現所顯示的網址為固定(不可刪改)的文字形式,並非像是正常瀏覽器可以輸入內容作搜尋,就是用前端技術生成一個很像網址輸入框的內容。
由於不是真正的瀏覽器開啟的頁面,視窗的最大化和最小化功能也就沒有辦法實現,點擊視窗最大化所顯示的視窗約莫只有整個瀏覽器的1/2大小不到,點擊最小化則視窗直接關閉消失,視窗也無法拖曳出瀏覽器。
這不會是最後一起利用BITB攻擊,騙取帳密的事件。後續也有會有更多利用舉辦免費宣傳活動的BITB攻擊事件,這是一場無可避免的資安攻防戰,唯有提高警覺提升自我防駭意識,才能保護好我們重要的個人資料。
流程圖:
防範BITB(BROWSER-IN-THE-BROWSER)釣魚攻擊建議:
● 注意免費的行銷活動是否需要輸入重要個人資料,如果需要輸入,要特別留意真假並提高警覺。
例如:導引你到某個會員登入頁面、網路銀行登入頁面..等。
● 確認瀏覽器頁面網址輸入框是否可以輸入資料做搜尋,如果為固定文字,可能就是BITB釣魚攻擊。
● 確認瀏覽器頁面是否可以正常的放到最大或是收到最小,如果無法完成,可能就是BITB釣魚攻擊。
● 確認瀏覽器頁面是否可以正常拖曳出原本的瀏覽器,如果無法拖曳出,可能就是BITB釣魚攻擊。
● 定期員工資安訓練,舉辦模擬釣魚測試或請外部資安專家安排訓練課程,讓員工學習辨識釣魚攻擊。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:https://www.silentpush.com/blog/browser-in-the-browser-attacks/
參考資料:https://mrd0x.com/browser-in-the-browser-phishing-attack/
