Una nueva técnica de phishing está adquiriendo popularidad entre los ciberdelincuentes. Conocido como 'Browser-in-the-Browser (BiTB), este método permite lanzar ventanas emergentes falsas desde una página web que parece convincente para robar información personal de cuentas. Esta misma técnica ha sido utilizada en Steam, y su eficacia es realmente preocupante.

La empresa de ciberseguridad Group-IB ha realizado un informe advirtiendo sobre el peligro de esta técnica. Todo indica a que los atacantes suelen ir detrás de aquellas cuentas de usuarios profesionales o que compiten en torneos de videojuegos.

Un método muy sofisticado para robar cuentas de Steam

Todo comienza cuando un usuario recibe una invitación a un supuesto torneo en forma de mensaje directo, con un enlace que redirige a la supuesta página oficial del mismo. Estos torneos suelen ser de juegos como League of Legends, Counter-Strike, DOTA 2, PUBG, etc. Este mensaje sirve de cebo para que el usuario acceda al enlace adjunto.

La web a la que redirige el mensaje suele ser visualmente similar a la que tendría cualquier compañía de eSports que organiza eventos y torneos. De hecho, en el ejemplo que exponen desde Group-IB, se trata de una web desarrollada de forma muy sofisticada, prácticamente indistinguible de una web oficial y legítima.

Imagen: Group-IB

Una vez en la web, el usuario puede unirse al supuesto torneo a través de su cuenta de Steam, desde la ya conocida ventana emergente del servicio para insertar …