Как взломать стим через телефон
Киберпреступники ежемесячно взламывают 77,000 аккаунтов Steam. Как это возможно?
Киберпреступников как магнитом притягивает к различным веб-ресурсам, вокруг которых крутится много денег. Эта участь не миновала и Steam: согласно подсчетам Valve (компании, создавшей сервис Steam), 77 тысяч его пользователей ежемесячно теряют деньги, игровые предметы и даже учетные записи.
Современные технологии позволяют киберпреступникам ждать месяцами, пока тот или иной троянец заразит систему и принесет прибыль. Зловредов так много, и они так хорошо распространены, что судьба одного конкретного образца вовсе не критична для его создателей. Получается, что под удар попадает буквально каждый пользователь Steam.
Троянец-как-услуга — полный пакет для воровства игр
Оказалось, что воры аккаунтов Steam Stealers приносят злоумышленникам еще больше денег. К сожалению, их создают и распространяют не какой-то один кибермошенник и даже не группа преступников, а целый легион разных банд.
В результате с настройкой этих троянцев справится и новичок, делающий первые шаги в мире киберпреступности. Программисту, владеющему хоть какими-нибудь навыками разработки, будет еще проще.
Еще одна плохая новость: Steam Stealers продаются по очень низким ценам. Обычно троянцы-как-услуга стоят по $500 за образец, тогда как цены на Steam Stealers начинаются от 200 рублей. Если доплатить еще 250, покупатель получит полное руководство пользователя и исходный код зловреда, который пригодится, чтобы модифицировать его под свои нужды. Да, сейчас мы говорим о самом дешевом варианте, но на самом деле довольно сложно найти такого троянца-вора для Steam, который стоил бы больше $30.
Старые приемы на новый лад
Что интересно, киберпреступники выучили урок из легенды о Вавилонской башне: весь исходный код их программного обеспечения задокументирован и доступен для изучения на разных языках, что только способствует распространению зловреда.
Как оказалось, распространение троянца, заточенного под конкретный регион, — залог успеха. Например, в России и русскоговорящих странах легко можно найти локализированную версию троянца-вора, а Steam в России очень и очень популярен — целей для атак хоть отбавляй.
Во время расследования эксперты GReAT обратили внимание на то, что используемые хакерами способы обмана эволюционируют: поддельные скриншоты начинают выглядеть более достоверными, фальшивые сайты становятся все больше похожи на оригиналы, появляются новые способы доставки троянов, а боты кажутся более похожими на людей. Хотя 2016 год только начинается, угроз уже немало, и количество специализированных атак для Steam будет только расти. Подробнее о нашем исследовании вы можете прочесть на Securelist.
А что делает Valve для защиты пользователей?
В конце 2015 года число пользователей Steam перевалило за 12 млн. Как видите, перед хакерами, по сути, огромное пространство для атаки, которое привлекает все новых и новых преступников.
Корпорация Valve весьма обеспокоена сложившейся ситуацией, и сейчас она вводит множество новых мер безопасности. Плохие парни тоже не дремлют — они исследуют защиту Steam в попытке обнаружить новые лазейки и потенциальные уязвимости. В этом непрекращающемся сражении побеждает тот, кто находится все время на шаг впереди.
Проблема Steam в том, что этот сервис создавался для развлечений. Поэтому ему все время приходится балансировать между безопасностью и удобством использования. Многие геймеры не готовы пожертвовать своим комфортом ради защиты.
Если сервис пока не может одержать верх в этой битве с хакерами, придется пользователям взять дело в свои руки.
Я думаю почти каждый, кто играет или играл хоть какие то игры в стиме думал о том, как было бы здорово заполучить аккаунт другого человека. Допустим для того, что бы иметь возможность играть в игры, которые не можешь себе позволить, забрать какие то скины или просто отомстить своему обидчику. Так уж сложилось, что в свое время мне удалось взломать более 4 тысяч стим-аккаунтов. Ну, как взломать. Правильнее будет сказать - просто заполучить доступ. И сейчас я расскажу как именно я это сделал.
В итоге я придумал один способ, который изначально был ориентирован на глупых школьников, потому что никто другой просто не повелся бы.
После этого я записал видео о том, как, якобы, можно бесплатно получить любую игру для стима.
Я немного подготовился, создал кучу ярлыков новых игр на рабочем столе, что бы была иллюзия того, что способ работает.
И начал, собственно, втирать дичь.
Я рассказал о том, что иногда люди, которые покупают игры в стиме, замечают, что эти игры просто напросто не появляются в их библиотеке. То есть, это какой-то баг.
После чего они пишут на электронную почту стим-поддержки письмо, мол
-Я купил в стиме такую-то игру, но она не появилась в моей библиотеке. Прошу добавить мне эту игру.
Так же я добавил, что стим поддержка эта, русскоговорящая, то есть все работники наши и как следует ожидать, они плохо выполняют свою работу, по этому даже не будут проверять правда ли это. Просто добавят вам эту игру.
Для формальности, что бы эта заявка сработала, нужно указать некоторую свою информацию
-Свой логин в стиме
-Пароль указывать, естественно не надо, потому что они и так его знают и везде говорят, что никому нельзя писать свой пароль от стима, ради своей же безопасности.
Дальше - своя электронная почта
и пароль от нее, что бы стим-поддержка убедилась в том, что этот аккаунт, действительно, принадлежит тебе.
На этом и заключалась вся загвоздка. Я навешал лапши науши в том моменте, где говорил, что не нужно указывать пароль от стим-аккаунта, тем самым войдя в доверие школьников, а потом убедил в том, что указывать пароль от электронной почты - не страшно и это просто формальность. На тот момент мало кто знал о какой-либо элементарной кибербезопасности.
В конце я еще добавил, что такие письма можно отправлять раз в неделю, но не чаще, потому что могут спалить. Но даже если спалят, аккаунт не заблокируют, а просто выдадут предупреждение. То есть совсем никакого риска.
Теперь я залил это видео на ютуб и немного раскидал его по разным форумам, а дальше просмотры сами пошли.
Под видео я с нескольких аккаунтов оставил позитивные комментарии и лайки. Дальше негативные удалял, а позитивные и новые лайки приходили сами собой.
На почту каждый день приходило более 50 писем с данными про аккаунты.
Мне оставалось только заходить на их почту, восстанавливать пароль от аккаунта в стиме, а потом менять почту аккаунта на мою. Тогда еще не было защиты с помощью мобильного телефона.
Таким образом я получил доступ к многим аккаунтам и играм. Но тогда я еще ничего не знал про скины.
Дальше я еще раз повторил подобное, но что бы мне было легче просил уточнять среди всей формальной инфы, помимо логина и прочего еще количество игр на аккаунте и текущий баланс. В итоге мне пришло больше 4-х тысяч стим-аккаунтов. Были и те, где больше 100 игр, где было скинув на сотни долларов и так далее.
Когда мне писали и очень просили вернуть аккаунт, я обычно возвращал. Мне было их жалко в тот момент.
В дальнейшем я прекратил это дело, потому что понимал, что уровень этой обиды и грусти людей, которые потеряли аккаунты, он сильнее, чем уровень той радости, что я получал от новых аккаунтов.
Я понимаю, что поступал неправильно и мне искреннее жаль тех школьников. Некоторые вернули свои аккаунты через настоящую стим-поддержку, ну а некоторые так и остались у меня. В какой-то момент я просто их раздал на одном из форумов.
Вот и вся история. Не советую повторять это, потому что, во-первых, как минимум, сейчас такое не прокатит, во-вторых, это плохой поступок.
Чисто гипотетически я смог бы придумать и сейчас способ заполучения чужих стим-аккаунтов, но делать этого не стану и вам не советую.
Всем привет. В данном блоге будет описано как могут взломать ваш игровой стим аккаунт мошенники и как от этого защититься.
Зачем вы вообще нужны мошенникам?
Преступникам могут быть интересны ваши игровые вещи, так и сам аккаунт. Потому что их можно продать за фиатные деньги.
Поговорим о том, как у Вас могут украсть информацию.
Существует два основных варианта хищения Вашей информации:
- С помощью программы, которая отсылает с Вашего компьютера информацию злоумышленнику. Говоря простыми словами - это вирус (шпион, кейлогер, троян и прочие неприятные программы).
- Пользователь добровольно передаёт информацию об аккаунте.
“Как?”- спросите Вы.
Всё очень просто. Обычно таким способом являются фишинговые сайты. Если кратко, то это сайты клоны, которые имеют идентичный вид оригинального сайта, но с другим адресом (доменом). Адрес обычно очень похож на адрес настоящего сайта, и визуально его можно принять за настоящий, если не присматриваться (а часто ли Вы смотрите на адрес сайта, когда переходите по ссылке?). Отличие может быть в одной букве по типу: mn, nn, mm или nm от полного адреса.
hттр://stеаmcomnunity(точка)com - а это уже мог быть фишинговый сайт, который возможно прислал бы Ваш недавно добавленный (или же который в друзьях давно, но у него похитили Steam-аккаунт и под его видом Вам пишут) “друг” и попросил бы ему помочь голосованием или же сказал бы, что зайдя туда, можно получить случайную игру из Steam в подарок бла-бла-бла.
Вот пример фишинга через рекламу от гугла. Сайт ни в коем случае не реклама, просто пример. Мошенники купили домен и создали клон обменника, для того, чтобы люди обменивали свои скины. Пользователи заливают свои игровые предметы, но вот обратно их забрать не дают, или забрать другие по аналогичной стоимости. Защититься от подобного можно, сохранив списки нужных сайтов в закладки.
Вообще про фишинг в интернете можно прочитать много. Ниже приложу видео, где это даже показывается как пример. Без некоторых нюансов, чтобы любой "ламер" не смог повторить, но в целом легкость процесса понятна
Бывают более продуманные ходы со стороны похитителя информации.
Он может изначально выслеживать Вашу сетевую активность (когда вы бываете онлайн и когда вы играете) и подружиться во время игры, например. Это нужно лишь для того, чтобы он не был для Вас другом из ниоткуда.
Дальше начнёт изучать Ваш список друзей и анализировать активность общения (вычислить того, с кем часто общаетесь).
После этого, в один прекрасный момент, он полностью переделает свой профиль под профиль Вашего друга (будут максимально похоже совпадать имена, аватарки и прочая информация об аккаунте) и пойдёт с Вами на контакт. После он может, например, попросить у вас какой-нибудь скин, или расскажет о супер халявной рулетке, которая раздает халяву, и для того, чтобы ее забрать, нужен депозит. Или авторизация через фишинговый сайт.
Так как защитить свой Steam-аккаунт?
Надо помнить, что на 99.99% защита аккаунта зависит от самого пользователя. Если пользователь не желает быть осторожным и внимательным, то такого пользователя не спасёт ни одна защита и никакие советы (за исключением тех, которые призывают к осторожности и внимательности) не помогут.
Это нужно для того, чтобы защитить себя от разного рода вредоносных программ.
Если Вы являетесь опытным пользователем или же у Вас установлена операционная система, которая не имеет вредоносных программ, то можете пропустить этот шаг.
2)Необходимо обзавестись надёжным почтовым сервисом.
Электронная почта - это основа Вашего Steam-аккаунта. Поэтому, нам нужна такая электронная почта, которая смогла бы предоставить защиту даже в том случае (это для подстраховки), если на Вашем компьютере имеется вредоносная программа.
Данным способом защиты почтового ящика является - двухфакторная авторизация В таком случае, украсть Ваш почтовый ящик не представиться возможным.
Ведь для входа с другого компьютера или же для изменения пароля потребуется код подтверждения, который высылается на Ваш мобильный аппарат в виде СМС.
Рекомендую использовать электронную почту от Google.
Корпорация Valve разработала дополнительную защиту для Steam-аккаунта - Steam Guard.
Принцип работы у данной защиты тот же, что и у верификации почтового ящика. С разницей лишь в том, что код подтверждения высылается в мобильное приложение.
Никто не должен знать Ваш пароль.
Администрация Steam никогда не будет у Вас спрашивать его, НИ-КОГ-ДА и ни при каких обстоятельствах! Ведь она при необходимости может его просто сменить через техническую поддержку, если у Вас с этим имеются какие-либо проблемы.
Если к Вам добавился в друзья “администратор Steam” или же другая личность, сообщающая о необходимости представлении ему Вашего логина и пароля от Steam и от почтового ящика в целях проверки Вас, то смело заходите ему в профиль и сообщайте о том, что с данного аккаунта происходит мошенническая деятельность.
И конечно же, не вводите данные от аккаунта на поддельных сайтах и не попадайтесь на уловки Ваших “друзей” о которых писалось выше!
Но в тот же момент авторизовываться через стим вполне безопасно, если вы уже авторизовались в стиме по оригинальной, не фишинговой ссылке. Потому что авторизация через стим осуществляется через публичные данные.
Привяжите свой аккаунт к Вашему основному номеру мобильного телефона.
Связав свой аккаунт с номером телефона, Вы сможете восстановить доступ к аккаунту в случае его кражи или потери пароля, или же если у Вас нет доступа к своей электронной почте или к мобильному приложению Steam.
Это можно сделать тут
Скачав приложение Steam на свой смартфон, Вы сможете активировать Steam Guard Mobile Authenticator (Мобильный аутентификатор Steam Guard) и тем самым, обеспечив свой аккаунт ещё более прогрессивной защитой. Это аналогично с почтовым Steam Guard, разница лишь в том, что при заходе в аккаунт, Вам необходимо зайти в мобильное приложение Steam и ввести оттуда код подтверждения, который меняется каждые 30 секунд.
В Steam можно выставить настройки, которые позволят скрыть Ваш профиль от посторонних глаз.
Проследуйте на страницу Вашего профиля и нажмите на “Редактировать профиль> Мои настройки приватности” и настройте под себя.
Необязательно его скрывать от всех, так как некоторых пользователей подобные профили настораживают.
steam - настройки - семья - управление семейным просмотром. почту желательно указать другую, отличную от стима
Сохраняя свой пароль в браузере, его легко могут похитить стиллером, и подобными вредоносными программами. Неплохо себя показали такие менеджеры паролей, как KeePass, Kaspersky Password Manager, LastPass. В них можно хранить все пароли в одном месте. И для доступа ко всем ресурсам не обязательно запоминать пароль каждого. Достаточно запомнить пароль от менеджера паролей, в котором данные шифруются. А при вводе паролей через клавиатуру их могут похитить кейлоггером.
Для тех, кто боится менеджеров паролей, их создают корпорации, которые несут юридическую ответственность за сохранность данных, у них есть лицензионное соглашение. И если они его нарушат, и реально что-то передадут, у них будут очень большие проблемы, которые не соизмеримы с их возможной выгодой за слив данных.
10) Хотя бы раз в месяц проверяйте компьютер на вирусы сторонним антивирусным решением.
Например Dr.Web CureIt и Kaspersky Virus Removal Tool, которые не требуют установки.
Теперь Вы надёжно защитили свой Steam-аккаунт!
Достаточно помнить то, что Вы прочитали тут и следовать этому в дальнейшем!
При создании данного блога использовалась информация из данного гайда, но было дополнено лично мной в связи с актуальностью и новыми данными.
Данная информация актуальна для любых сайтов. Включая соцсети, и любые, где хранятся важные для вас данные
1. SQL Injection
Запрос загрузки статистики выглядит вот так:
где «UA» — это код страны.
Ну что ж, пришло время кавычек!
Давайте пробуем «UA'»:
Статистика НЕ вернулась, чего и следовало ожидать.
Статистика снова вернулась и это похоже на инъекцию!
Допустим что инструкция к базе данных выглядит таким образом:
Заметили лишнюю кавычку? А это значит, что инструкция невалидна.
Соответсвенно синтаксису SQL — запрос ниже вполне валиден (лишних кавычек нет):
Обратите внимание, мы имеем дело с массивом countryFilter[]. Я предположил, что если в запросе продублировать параметр countryFilter[] несколько раз, то все значения, которые мы отправим, будут объединены в SQL запросе таким образом:
Проверяем и убеждаемся:
Фактически, мы запросили у БД статистику трёх стран:
Синтаксис верный — статистика вернулась :)
Обход Web Application Firewall
Сервера Steam прячутся за Akamai WAF. Данное безобразие вставляет палки в колёса хорошим (и не очень) хакерам. Однако, мне удалось одолеть его благодаря объединению значений массива в один запрос (то что я объяснил выше) и комментированию. Для начала убедимся в наличии последнего:
Запрос валиден, значит в нашем ассортименте есть комментарии.
У нас было несколько вариантов синтаксиса, локальные базы для тестирования пэйлоадов, символы комментариев и бесконечное множество кавычек всех кодировок, а также самописные скрипты на пайтоне, документация по всем базам данных, инструкции по обходу файрволов, википедия и античат. Не то чтобы это был необходимый запас для раскрутки инъекции, но раз уж начал ломать базу данных, то сложно остановиться.
WAF блокирует запрос, когда встречает в нём функцию. Вы знали, что DB_NAME/**/() — вполне валидный вызов функции? Файрвол тоже знает и блокирует. Но, благодаря этой фиче, мы можем разделить вызов функции на два параметра!
Мы отправили заспрос с DB_NAME/*всёчтоугодно*/() — WAF ничего не понял, а вот база данных успешно обработала такую инструкцию.
Получение значений из базы данных
Итак, пример получения длины значения DB_NAME():
Ну и по-человечески:
Это значит, что если сравнение истинно, то в ответ получим статистику для страны «UA». Не сложно догадаться, что перебирая значения от 1 до бесконечности, мы рано или поздно найдём верное.
Таким же способом можно перебирать текстовые значения:
Обычно для получения N-ого символа используют функцию «substring», но WAF упорно её блокировал. Тут на помощь пришла комбинация:
Как это работает? Получаем N символов значения system_user из которых забираем последний.
Представим, что system_user = “steam”. Вот так будет выглядеть получение третьего символа:
С помощью простого скрипта этот процесс был автоматизирован и я получил hostname, system_user, version и названия всех БД. Этой информации более чем достаточно (последнее даже лишнее, но было интересно) для демонстрации критичности.
Через 5 часов уязвимость была исправленна, однако статус triaged (принята) ей выставили через 8 часов и, чёрт возьми, для меня это были очень сложные 3 часа за которые мой мозг успел пережить стадии от отрицания до принятия.
Так как уязвимость не обозначили принятой, я полгал что очередь до моего репорта ещё не дошла. Но баг то исправили, а значит его могли зарепортить раньше меня.2. Получение всех ключей от любой игры
В этом запросе параметр keyid – id набора ключей, а keycount – количество ключей, которое необходимо получить из данного набора.
Конечно же, руки мгновенно потянулись вбивать разные keyid, но в ответ меня ждала ошибка: «Couldn`t generate CD keys: No assignment for user.». Оказалось, не всё так просто, и Steam проверял принадлежит ли мне запрошенный набор ключей. Как же я обошёл данную проверку? Внимание…
Сгенерировался файл с 36,000 ключей от игры Portal 2. Вау.
Только в одном наборе оказалось такое количество ключей. А всего наборов на данный момент более 430,000. Таким образом, перебирая значения keyid я потенциальный злоумышленник мог скачать все ключи, когда-либо сгенерированные разработчиками игр Steam.
Читайте также: