Novo Esquema do Steam Promete Jogo Grátis e Rouba Credenciais dos Usuários

Muitos de vocês sabem muito bem que, quando lhe oferecerem algo por nada no mundo real, você deve ter um pouco mais de cuidado. Online, no entanto, as coisas são um pouco diferentes. Muitas pessoas estão acostumadas com a idéia de que mesmo peças complexas de software, como videogames, podem (e devem) ser gratuitas. Esse tipo de mentalidade está tão profundamente arraigado nas mentes dos usuários que, trinta anos depois que a rede mundial de computadores se tornou parte de nossas vidas cotidianas, os criminosos continuam a tirar proveito disso. Um ataque de phishing analisado pelos pesquisadores da Malwarebytes ilustra bastante bem esse ponto.

Os Phishers estão de Olho nos Jogadores

Este certamente não é o primeiro ataque de phishing destinado aos usuários do Steam, e, considerando o fato de a conta bilionésima da plataforma de jogos ter sido criada recentemente, é improvável que seja a última. Além de fazer promessas que não podem ser cumpridas, os criminosos também aproveitam o fato de que, quando recebem um link de alguém que conhecem, as pessoas tendem a confiar nele.

Em março, as primeiras vítimas receberam os links de phishing por meio de mensagens diretas no Steam. Para maximizar o número de credenciais de login com phishing, os criminosos usam as listas de contatos das contas invadidas para espalhar ainda mais as redes. Parece que a mensagem vem de um amigo seu que, como você já deve ter adivinhado, está falando sobre uma maneira divertida de obter um novo videogame de graça. A informação é um tanto escassa. De fato, além de lhe dizer que, se você clicar em um link, poderá obter "o jogo que deseja" de graça, não há muito mais.

Se você morder a isca, seu navegador passará primeiro por um domínio de redirecionador e, eventualmente, direcionará você para uma página de fraude que o levará a "tentar a sorte". Há um botão azul "Jogar", que gira uma roleta virtual e informa qual jogo você ganhou. Para reivindicar seu prêmio, no entanto, você precisa clicar no botão "Login via Steam" e digitar seu nome de usuário e senha nas próximas meia hora.

Os Cibercriminosos poderiam Ter Se Esforçado Mais

O objetivo de qualquer página de phishing é induzir os usuários a pensarem que é seguro divulgar suas credenciais de login. Deve-se dizer que a página que faz parte da campanha descrita acima não está fazendo um bom trabalho. Quando os pesquisadores o testaram, ele foi aberto em uma janela pop-up e em uma nova guia, e a barra de endereço permaneceu em branco. Isso pode levantar suspeitas entre algumas pessoas, e o fato de a maioria dos menus e links não funcionar pode tornar os usuários ainda mais desconfortáveis.

No entanto, o simples fato de a campanha estar forte há mais de três meses mostra agora que algumas vítimas ignoraram todos esses detalhes. Tente não cometer o mesmo erro e, se você estiver com um orçamento apertado para jogos, aguarde as vendas oficiais do Steam. Você não receberá nenhum jogo grátis, mas ainda poderá fazer um acordo decente e, como um bônus adicional, não fornecerá suas credenciais de login aos bandidos.