新钓鱼攻击浏览器中的浏览器窃取玩家Steam账号，安全专家提醒注意

全球拥有超过1.2亿玩家数的Seam平台，因许多游戏的虚拟物品在市集交易有利可图，一直是网络钓鱼攻击的重点目标，而海外网络安全组织CERT-GIB近日公开一种全新的网络钓鱼技术「浏览器中的浏览器」（browser-in-the-browser），能够成功伪造SSL凭证并骗取玩家帐号信息，呼吁玩家与Valve 特别注意。 这个「浏览器中的浏览器」手方为网络研究员mr.d0x在2022年春季所发现，简单来说，这些骇客利用钓鱼资源创造一个弹出式的帐号登录窗口，从外表上该窗口与真实的登录窗口没有区别，而玩家透过该窗口输入的帐号信息即会被窃取。

根据CERT-GIB描述，不法份子会先建立目前许多当红游戏电竞赛事活动网页，像是《CS：GO》、《PUBG》等作品，这些网页都是安全的，但该网页会诱使玩家登入并连结 Steam 或其他游戏帐号，而点击登入所弹出的登入窗口则是黑客们所假造的。 在防范一般的传统钓鱼攻击时，通常会以 URL 网址是否正确，同时也会确认网址旁的绿色锁头符号，即为 SSL 凭证来证明其安全性。 然而，这个浏览器中的浏览器手法却绕过这个限制。 一开始玩家进入的诈骗网页是合法安全的，但是点击该网页链接所弹出的浏览器窗口却是伪造的，而且该浏览器能够伪造 SSL 凭证，且你在 URL 看不出什么区别。

换言之，一般的浏览器安全架构防得住表面第一层，但弹出式浏览器安全性则有严重漏洞，当玩家信以为真，认为登入窗口是合法安全之际输入账号信息，他们就得手了。 该手法甚至也能应用在 谷歌、Facebook、推特 等其他 SNS 平台的登录。 CERT-GIB 揭露这些诈骗网页的链接经常通过其他 SNS 平台散播，你可能在 YouTube 某个频道的短网址就点进去，然后被诈骗活动网页诱使去登入游戏帐号，因此无论如何，不要点击不信任的来源的链接，也需要仔细过滤 SNS 通知消息或电子邮件，避免落入新钓鱼攻击的圈套。