Oplichters omzeilen Steam Guard via phishing

Bij Valve hebben ze alle vertrouwen in Steam Guard, het beveiligingssysteem voor Steam dat je vraagt om een extra code in te geven wanneer blijkt dat je inlogt vanaf een andere pc of browser dan gewoonlijk. Gabe Newell gaf zelfs zijn wachtwoord prijs en daagde mensen uit om op zijn account te geraken. Hoewel het systeem op zich redelijk veilig is, blijft het toch opletten geblazen. Zo zijn er de laatste tijd oplichters aan het werk die trachten om via phishing de beveiliging te omzeilen.

Wanneer je in de val zou lopen van de oplichters, vragen ze je zoals gewoonlijk om je inloggegevens, zoals je accountnaam en wachtwoord. Daarmee op zich zijn ze echter nog niet veel, omdat Steam Guard in principe merkt wanneer iemand de account in kwestie gebruikt vanaf een andere pc dan gewoonlijk. Dus tenzij die gegevens ook gebruikt kunnen worden om de mail van het slachtoffer binnen te dringen, hebben de oplichters meer nodig. Daarom vragen ze ook toestemming, zogezegd in de naam van Steam, om een SSFN-bestand te downloaden. Dit is een bestand dat op je pc staat en dat Steam laat weten dat er geen extra beveiligingsmaatregel nodig is voor de pc waarop het bestand staat.

Door de combinatie van inloggegevens en het SSFN-bestand kunnen de oplichters uiteindelijk dus Steam Guard omzeilen en toegang krijgen tot iemands account. Hier kunnen ze dan wel geen kredietkaartgegevens misbruiken, maar de account kan wel geplunderd worden. Geld dat op je Steam account staat kan dus uitgegeven worden en meestal is men ook uit op de inventory van slachtoffers.

Bij Valve zijn ze op de hoogte van deze recent opgedoken vorm van phishing en men raadt iedereen uiteraard aan om niet in te gaan op de vraag om een SSFN-bestand te delen.