Геймеры столкнулись с новой масштабной фишинговой кампанией, нацеленной на кражу аккаунтов Steam и хищение ценных игровых предметов. Аналитики компании F6 выявили не менее 20 фишинговых сайтов Steam, маскирующихся под официальные ресурсы Steam и Twitch и обещающих подарочные карты номиналом от 5 до 50 долларов США, а также «бесплатные скины» для популярных игр.
Поддельные сайты Steam: «подарочные карты» и бесплатные скины как наживка
Организаторы схемы активно продвигают свои ресурсы через YouTube, TikTok и другие видеохостинги. Злоумышленники публикуют короткие видеоролики, где пошагово демонстрируют работу фейкового сайта с «акцией» по раздаче подарочных карт Steam. Ссылки на вредоносные ресурсы размещаются либо в описании профиля канала, либо в самом ролике, а также распространяются через Telegram-каналы, на которые авторы видео дополнительно перенаправляют зрителей.
По данным F6, большинство обнаруженных сайтов построены по единому шаблону, но используют разные легенды: «зимний марафон подарков», юбилей Steam, новогодние распродажи и другие вымышленные акции. Визуально эти ресурсы тщательно копируют интерфейс и стиль официального сайта Steam, что создает у пользователя ложное чувство безопасности.
Трюк с двойной адресной строкой и подменой домена
Ключевой элемент обмана — подмена визуального адреса сайта. На странице вшит графический элемент с надписью steamcommunity.com, имитирующий адресную строку браузера. В результате на экране создается эффект «двойной адресной строки»: верхняя строка — настоящая, отображаемая браузером, тогда как нижняя — часть макета страницы и служит для введения в заблуждение невнимательных пользователей.
Если посетитель вводит логин и пароль от своего аккаунта Steam на таком ресурсе, данные немедленно отправляются на сервер злоумышленников. После успешного перехвата учетных данных атакующие получают доступ к аккаунту, могут сменить пароль, почту для восстановления и беспрепятственно вывести ценные внутриигровые предметы на сторонние торговые площадки.
Фальшивые Twitch Drops для CS2 и Rust: одноразовые ссылки и пустые страницы
Вторая активно используемая схема связана с поддельными акциями Twitch Drops для игр CS2 и Rust. В этом сценарии жертве предлагают «получить эксклюзивные скины» за просмотр трансляции или за ввод промокода на специальной странице, стилизованной под Twitch. После ввода промокода пользователю предлагают авторизоваться через Steam, но нажатие на кнопку входа приводит не на официальный сайт, а на поддельную страницу авторизации.
Особенность этой схемы в использовании одноразовых ссылок. URL работает только при первом переходе с определенного устройства. Если попытаться открыть его повторно, с другого устройства или переслать знакомому в качестве доказательства фишинга, страница отобразится пустой. Как отмечает Александр Сапов, старший аналитик второй линии CERT департамента Digital Risk Protection компании F6, это затрудняет работу регуляторов и систем мониторинга, поскольку конечный вредоносный контент часто оказывается недоступен при проверке.
Такие ссылки, по оценке экспертов, распространяются непосредственно в чатах во время стримов по CS2 и Rust под видом легитимных Twitch Drops — официальных наград за просмотр трансляций. Модерация Twitch блокирует подобные сообщения, но с задержкой, и этого короткого окна оказывается достаточно, чтобы часть зрителей успела перейти по ссылке и оставить свои учетные данные на фишинговом сайте.
Интересно, что все выявленные ресурсы в рамках сценария с Twitch ориентированы именно на российских пользователей: базовый дизайн выполнен на английском языке, но формы ввода логина и пароля, подсказки и сообщения об ошибках полностью переведены и сверстаны на русском. Это дополнительно повышает доверие и эффективность атаки на локальную аудиторию.
Почему аккаунты Steam — ценный актив для киберпреступников
Аккаунт Steam обычно содержит не только купленные игры и достижения, но и инвентарь с игровыми предметами — скины, кейсы, стикеры и другие цифровые активы. На рынке внутриигровых предметов стоимость отдельных лотов может достигать значительных сумм, поэтому приоритетной целью злоумышленников становится именно инвентарь, а не сами игры.
Получив контроль над профилем, атакующие быстро передают ценные предметы на свои учетные записи или продают их через сторонние площадки. Дополнительно захваченные аккаунты используются как инструмент дальнейшего распространения фишинговых ссылок: сообщения отправляются друзьям жертвы от ее имени, что существенно повышает доверие и вероятность успешного заражения новых пользователей.
Доменные зоны и противодействие фишинговой кампании
Часть обнаруженных фишинговых доменов, зарегистрированных в зоне .RU, уже заблокирована российскими регуляторами. Однако значительная доля ресурсов размещается в других доменных зонах — .PW, .CC, .COM, .PRO и .WORLD. Использование зарубежных и менее контролируемых зон позволяет мошенникам дольше удерживать инфраструктуру в рабочем состоянии и оперативно менять домены при блокировках.
По информации F6, работа по блокировке подобных ресурсов продолжается, но скорость их появления нередко опережает возможности реагирования. В таких условиях ключевым фактором защиты становится осведомленность пользователей о фишинге в играх и базовая цифровая гигиена.
Чтобы не стать жертвой подобной атаки, важно никогда не вводить логин и пароль от Steam на сайтах, куда вы перешли по ссылке из описания ролика, чата трансляции или сообщения в мессенджере. Безопаснее самостоятельно открывать официальный клиент или вводить адрес steamcommunity.com вручную, внимательно проверяя домен в реальной, а не «нарисованной» адресной строке. Рекомендуется включить двухфакторную аутентификацию Steam Guard, использовать уникальные сложные пароли для почты и аккаунта Steam, а также сразу сообщать друзьям и в поддержку платформы, если вы заметили подозрительную активность или потерю доступа. Чем выше общий уровень кибербезопасности геймеров, тем сложнее злоумышленникам масштабировать подобные кампании и превращать виртуальные предметы в реальные деньги.
