CẢNH BÁO: Nhiều game thủ Steam bị mất acc khi nhận được lời mời tham gia giải đấu trực tuyến
Thủ đoạn lừa đảo tinh vi này đã xâm nhập các tài khoản trị giá hàng trăm nghìn USD.
Game thủ trên Steam đang phải đối mặt với một thủ đoạn hack mới, lừa người chơi đăng nhập tài khoản của họ qua đường link, sau lời mời tham gia các giải đấu "ao làng". Các game thủ chuyên nghiệp và các tài khoản có giá trị cao là mục tiêu chính của thủ đoạn lừa đảo này.
Các vụ lừa đảo được phát hiện bởi Group-IB, sau khi xác định được mục tiêu các tin tặc gửi các tin nhắn trực tiếp thông qua Steam DM để mời họ tham gia vào các giải đấu trực tuyến như Liên minh huyền thoại (LOL), Counter-Strike, Dota 2 hoặc PUBG.
Tất nhiên, lời mời gọi này chỉ là một "cú lừa". Những tin nhắn chứa link dẫn đến một trang web giải mạo với giao diện tương tự như một công ty eSport nổi tiếng chuyên tổ chức các giải đấu. Trang web này cũng yêu cầu người cung cấp thông tin đăng nhập Steam của họ cũng như mã xác thực hai yếu tố để đăng ký thi đấu. Người chơi khó có thể nào phân biệt được cửa sổ đăng nhập Steam "fake" này, với độ hoàn thiện tinh vi với lựa chọn 27 ngôn ngữ, chứng chỉ bảo mật SSL, URL hợp pháp và tùy chọn "tạo tài khoản" như Steam "real". Cửa sổ đăng nhập này thậm chí có thể di chuyển xung quanh, thay đổi kích thước,..
Sau khi có quyền truy cập vào tài khoản, tin tặc sẽ đánh cắp toàn bộ vật phẩm ảo, chẳng hạn như skin CS:GO, đồng thời có quyền truy cập vào thẻ tín dụng của nạn nhân. Chưa dừng ở đó, chúng sẽ sử dụng danh sách bạn bè của tài khoản vừa chiếm được để trục lợi từ việc gửi tin nhắn lừa đảo như trên.
Group-IB báo cáo thủ đoạn này lần đầu tiên xuất hiện vào đầu năm 2022 và đã xâm nhập các tài khoản trị giá hàng trăm nghìn USD.
Một cách để đảm bảo bạn không nằm trong danh sách nạn nhân của thủ đoạn trên là sử dụng tiện ích mở rộng chặn JavaScript, mặc dù việc chặn các tập lệnh có thể gây ra sự cố với nhiều trang web.
Các phương pháp khác, ít xâm nhập hơn bao gồm những phương pháp áp dụng trên toàn bộ không gian mạng: cảnh giác với các tin nhắn trực tiếp từ người lạ và không nhấp vào bất kỳ link nào.
Bài cùng chuyên mục