Мошенники крадут аккаунты Steam через поддельные страницы верификации FACEIT

Атака направлена на аудиторию FACEIT - одной из крупнейших соревновательных площадок для Counter-Strike 2, где миллионы игроков участвуют в рейтинговых матчах и турнирах с продвинутой античит-защитой. Для регистрации на FACEIT необходимо привязать аккаунт Steam, и именно эта связь делает геймеров уязвимыми. Украденный аккаунт Steam представляет большую ценность для киберпреступников. Внутри могут храниться игры на тысячи долларов, дорогие скины для CS2, конвертируемые в реальные деньги, средства на кошельке, а также многолетняя история общения и репутация в сообществе. Получив доступ, злоумышленники похищают предметы, обманывают друзей жертвы или продают аккаунт на чёрном рынке.

Схема начинается с сайта, который копирует официальную страницу FACEIT. Мошенники распространяют ссылки через обычные каналы коммуникации геймеров: форумы, игровые чаты, социальные сети и личные сообщения. Сайт предлагает пройти бесплатную верификацию личности для создания более доверенного сообщества. Страница выглядит отлично: на ней размещены актуальные элементы бренда и даже работающие ссылки на настоящие блог и службу поддержки FACEIT. Всё это создаёт иллюзию подлинности.

Однако вместо официального домена faceit.com используются похожие адреса, такие как faceit-discord[.]com, faceit-clubs-verify[.]com или faceit-verification-clubs[.]com. Дополнительные слова вроде "verification" или "discord" рассчитаны на то, что пользователь бегло взглянет на адресную строку и сочтёт её настоящей. Многие из этих доменов существуют всего несколько дней или даже часов, так как мошенники постоянно регистрируют новые, зная, что старые скоро будут заблокированы. Есть и заметные несоответствия: на одной из страниц одновременно указаны "Copyright 2024" и "Copyright 2025", что для легального сервиса является грубой ошибкой.

После предложения пройти верификацию сайт сообщает о проблеме с учётной записью CS2 и требует обновить данные, чтобы подтвердить, что пользователь не использует читы или так называемый "смёрф-аккаунт". Подробно механизм обмана описали специалисты компании Malwarebytes. Ключевой элемент атаки - намеренно размытый QR-код, который трудно отсканировать. Исследователи считают, что после нескольких неудачных попыток жертва сдаётся и нажимает на более заметную кнопку "Войти через Steam". Именно этот сломанный код направляет пользователя к части страницы, где происходит кража данных.

Когда человек нажимает на кнопку, перед ним открывается окно входа в Steam. Оно выглядит очень убедительно: логотип платформы, поля для логина и пароля и адресная строка, отображающая steamcommunity.com. Однако это окно - подделка. Вместо настоящей страницы Steam мошенники показывают графическую копию внутри самого сайта. Специалисты называют такой приём атакой типа "браузер в браузере". Встроенное окно ведёт себя как настоящий всплывающий элемент, но адресная строка - всего лишь часть изображения. Любые данные, введённые в форму, мгновенно попадают к преступникам. Если страница дополнительно запрашивает код Steam Guard, его тоже похищают, что даёт злоумышленникам полный доступ к аккаунту. Некоторых жертв затем уговаривают "защитить" свои предметы, переведя их другу или на резервный аккаунт, что на деле означает прямую передачу ценностей ворам.

Несколько простых привычек помогают избежать этой ловушки. Прежде всего, нужно проверять именно настоящую адресную строку браузера, а не ту, что отображается внутри веб-страницы. Фейковые окна входа могут подделать свой собственный адрес. Насторожить должны размытые QR-коды: как выяснили исследователи, в этой схеме размытие используется намеренно, чтобы подтолкнуть пользователя к опасной кнопке. К сообщениям о проблемах с учётной записью, необходимости срочной верификации или угрозе потери доступа следует относиться как к сигналу тревоги. Если есть сомнения, лучше открыть официальный сайт FACEIT или Steam самостоятельно, вручную введя адрес, а не переходить по ссылкам из сообщений или рекламы. Дополнительный уровень защиты могут обеспечить специальные расширения браузера, блокирующие известные фишинговые страницы до того, как пользователь успеет ввести свои данные.

Если пароль уже был введён на подозрительной странице, действовать нужно немедленно. Следует сменить пароль Steam, убедиться, что Steam Guard включён, и выйти из всех других сессий. Важно проверить настройки API-ключа Steam и удалить любой неизвестный ключ. Пароль необходимо сменить и на других сервисах, где он использовался. Также стоит проверить аккаунт на предмет несанкционированных обменов и покупок.

Эта мошенническая схема эффективна именно потому, что не выглядит как обман. Брендинг убедителен, выдумка с верификацией логична, а окно входа в Steam кажется подлинным. Большинство пользователей знают, что нужно проверять адресную строку перед вводом пароля. Техника "браузер в браузере" создана для того, чтобы обойти эту привычку. Так как поддельное окно встроено в страницу, мошенники могут сделать его адресную строку любой, хоть steamcommunity.com. Наиболее безопасный подход - проявлять подозрение к любому окну входа, которое появляется внутри другого сайта. Если есть сомнения, лучше закрыть страницу и войти в Steam обычным способом, через официальное приложение или прямой ввод адреса. Эта небольшая пауза, отказ от удобного пути, который навязывает страница, - единственное, что нужно, чтобы сохранить аккаунт в безопасности.

Domains

• faceit-clubs-verify.com
• faceit-discord.com
• faceit-verification-clubs.com