Tội phạm mạng đánh cắp tài khoản Steam qua các chiến dịch BITB

Buzz

Ngày cập nhật gần nhất: 1/5/2026

Nội dung bài viết

Các tài khoản Steam đang dễ bị đánh cắp qua các cuộc tấn công trực tiếp trên trình duyệt

Xem thêm

Đọc tóm tắt

- Tội phạm mạng đang sử dụng kỹ thuật tấn công Browser-in-the-Browser (BITB) để đánh cắp thông tin đăng nhập Steam của người dùng.
- Công cụ lừa đảo mới này có thể tạo ra các biểu mẫu đăng nhập giả mạo trên nhiều dịch vụ khác nhau.
- Chiến dịch mới sử dụng kỹ thuật BITB để đánh cắp tài khoản Steam của người dùng, bán quyền truy cập với giá lên đến 300.000 USD.
- Công cụ Phishing được sử dụng không phổ biến trên các diễn đàn hacker, mà được sử dụng riêng bởi các tội phạm mạng kết nối qua Discord hoặc Telegram.
- Người chơi có thể trở thành nạn nhân thông qua liên kết mời tham gia đội giải đấu trên Steam, dẫn đến trang web lừa đảo yêu cầu đăng nhập thông tin đăng nhập và mã 2FA.
- Sau khi đăng nhập, thông tin của nạn nhân sẽ bị đánh cắp và chuyển đến tội phạm mạng, làm cho nạn nhân khó khôi phục quyền kiểm soát tài khoản.

Tội phạm mạng đang triển khai những cuộc tấn công mới, nhằm vào việc ăn cắp thông tin đăng nhập Steam của người dùng bằng kỹ thuật tấn công Browser-in-the-Browser (BITB).

Phương pháp tấn công Browser-in-the-Browser là một chiến thuật phổ biến, liên quan đến việc tạo ra cửa sổ trình duyệt giả mạo trên cửa sổ đang hoạt động, để làm cho cửa sổ giả mạo hiển thị như cửa sổ pop-up đăng nhập được nhắm mục tiêu.

Các tài khoản Steam đang dễ bị đánh cắp qua các cuộc tấn công trực tiếp trên trình duyệt

Phát hiện và báo cáo lần đầu tiên bởi BleepingComputer vào tháng 3/2022, có khả năng cao rằng công cụ lừa đảo mới này đã được phát triển bởi nhà nghiên cứu an ninh mạng mr.d0x. Bằng cách sử dụng bộ công cụ này, kẻ tấn công có thể tạo ra các biểu mẫu đăng nhập giả mạo trên Steam, Microsoft, Google và nhiều dịch vụ khác.

Link tải phiên bản Steam mới nhất:

+ Link tải Steam cho Android
+ Link tải Steam cho iOS
+ Link tải Steam cho Windows

Liên quan đến vấn đề này, hôm nay Group-IB đã công bố báo cáo, minh họa cách một chiến dịch mới sử dụng kỹ thuật Browser-in-the-Browser để tấn công người dùng Steam, đánh cắp tài khoản của các game thủ như thế nào.

Những cuộc tấn công Phishing này nhằm mục đích bán quyền truy cập vào các tài khoản Steam của người dùng, với một số tài khoản có giá lên đến 300.000 USD.

Ngoài ra, báo cáo của Group-IB cũng chỉ ra rằng bộ công cụ Phishing được sử dụng trong các chiến dịch nhằm vào tài khoản Steam không phổ biến trên các diễn đàn hacker hay thị trường web đen. Thay vào đó công cụ này được sử dụng riêng bởi các tội phạm mạng kết nối với nhau qua các kênh Discord hoặc Telegram để điều phối cuộc tấn công của họ.

Chuyển đổi ngôn ngữ Steam sang tiếng Việt giúp người dùng sử dụng dễ dàng hơn trên phần mềm. Cách thực hiện chuyển đổi Steam sang ngôn ngữ tiếng Việt rất đơn giản, độc giả có thể tham khảo hướng dẫn trong bài viết dưới đây của Mytour và thực hiện theo đó.

Xem thêm: Hướng dẫn đổi ngôn ngữ Steam sang tiếng Việt

Những người có thể trở thành nạn nhân sẽ nhận được một liên kết trong tin nhắn trực tiếp trên Steam, mời họ tham gia đội cho các giải đấu LoL, CS, Dota 2 hoặc PUBG. Liên kết này sẽ đưa nạn nhân đến các trang web lừa đảo giống như trang web của một tổ chức tài trợ và tổ chức các cuộc thi thể thao điện tử.

Để tham gia đội, người chơi cần phải đăng nhập thông qua tài khoản Steam của mình. Tuy nhiên, vì cửa sổ đăng nhập mới được tạo và hiển thị trực tiếp trên trang hiện tại, nó gần như không thể phát hiện rằng đây là một cuộc tấn công Phishing. Thậm chí, trang đích còn hỗ trợ 27 ngôn ngữ, tự động nhận diện ngôn ngữ trình duyệt để tải ngôn ngữ chính xác.

Sau khi đăng nhập thông tin đăng nhập, màn hình của nạn nhân sẽ hiển thị thông báo yêu cầu nhập mã 2FA. Nếu bước thứ 2 không thành công, một thông báo lỗi sẽ xuất hiện trên màn hình.

Ngược lại, nếu xác thực thành công, người dùng sẽ được chuyển đến URL do C2 chỉ định, thường là một địa chỉ hợp lệ, nhằm giảm khả năng phát hiện của nạn nhân.

Hiện tại, thông tin của nạn nhân đã bị đánh cắp và được gửi đến tội phạm mạng. Trong các cuộc tấn công tương tự, kẻ tấn công sẽ chiếm đoạt tài khoản Steam, thay đổi mật khẩu và địa chỉ email, làm cho nạn nhân khó khôi phục quyền kiểm soát tài khoản của mình.

Các câu hỏi thường gặp

Kỹ thuật tấn công Browser-in-the-Browser là gì?

Kỹ thuật Browser-in-the-Browser (BITB) là một phương pháp tấn công mạng, trong đó kẻ tấn công tạo ra cửa sổ trình duyệt giả mạo để đánh lừa người dùng, khiến họ nhập thông tin đăng nhập vào một biểu mẫu giả mạo, thường là trên các trang web như Steam.

Tại sao tài khoản Steam lại dễ bị tấn công hiện nay?

Tài khoản Steam dễ bị tấn công do kẻ tấn công sử dụng kỹ thuật BITB, khiến người dùng khó phát hiện được sự khác biệt giữa cửa sổ đăng nhập thật và giả. Điều này làm tăng nguy cơ bị đánh cắp thông tin đăng nhập.

Những cách nào mà kẻ tấn công thu hút nạn nhân tham gia?

Kẻ tấn công thường gửi liên kết mời nạn nhân tham gia các đội trong các giải đấu như LoL hay CS. Những liên kết này dẫn đến các trang web lừa đảo có giao diện giống như trang web thật, nhằm đánh lừa người dùng đăng nhập.

Có cách nào để bảo vệ tài khoản Steam khỏi bị tấn công không?

Có, người dùng có thể bảo vệ tài khoản Steam bằng cách không nhấp vào các liên kết nghi ngờ và luôn kiểm tra URL của trang đăng nhập. Sử dụng xác thực hai yếu tố (2FA) cũng là một biện pháp bảo mật hiệu quả.

Các cuộc tấn công Phishing vào tài khoản Steam có phổ biến không?

Có, các cuộc tấn công Phishing vào tài khoản Steam đang gia tăng. Kẻ tấn công bán quyền truy cập vào các tài khoản đánh cắp, có thể có giá trị lên đến 300.000 USD, điều này cho thấy sự phổ biến và nghiêm trọng của vấn đề.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]