QR Code Phishing (Streamjacking): La Nuova Minaccia per gli Account Steam
Antifrode

QR Code Phishing (Streamjacking): La Nuova Minaccia per gli Account Steam

H
AutoreHammer Rolland

Per anni, il consiglio standard per la sicurezza di Steam era semplice: "Non dare mai la tua password e non dare mai il codice del tuo Autenticatore Mobile." Sebbene sia ancora vero, i truffatori hanno trovato un modo spaventosamente semplice per aggirare entrambi questi passaggi contemporaneamente, utilizzando una funzionalità progettata per la comodità: lo scanner di codici QR dell'app mobile di Steam.

Questo metodo, spesso indicato come "Streamjacking" o "QR Phishing", è diventato incredibilmente diffuso nella comunità di CS2. Ecco esattamente come funziona e perché non devi mai scansionare un codice QR casuale con la tua app Steam.

Il Difetto nella Comodità

Quando accedi a Steam su un nuovo PC, hai la possibilità di scansionare un codice QR visualizzato sul monitor utilizzando la tua app mobile di Steam. Questa è una brillante funzionalità di comodità. Trasferisce in modo sicuro la tua sessione autenticata dal telefono al PC senza che tu debba digitare una password o un codice 2FA.

Tuttavia, questa funzionalità presuppone che lo schermo che visualizza il codice QR sia il tuo schermo. I truffatori sfruttano questo presupposto.

Se scansioni un codice QR generato dal computer di un truffatore, stai istantaneamente concedendo a quel computer l'accesso completo e autenticato al tuo account Steam.

Come si Svolge la Truffa

La truffa si basa pesantemente sull'urgenza, l'avidità e l'illusione della legittimità, e tipicamente si svolge su piattaforme di streaming come Twitch o YouTube.

1. Lo Stream Falso (L'Esca)

I truffatori allestiscono una diretta streaming su Twitch o YouTube. Per farla sembrare legittima, tipicamente:

  • Utilizzano il nome e il branding di un famoso giocatore professionista (ad es., s1mple, m0NESY) o di un importante organizzatore di tornei (ad es., ESL, PGL).
  • Ritrasmettono un vecchio VOD (Video on Demand) molto visto di quel giocatore o torneo, per far sembrare lo stream attivo e popolare.
  • Usano view-bot per gonfiare artificialmente il numero di spettatori a migliaia, spingendo lo stream falso in cima alla directory di CS2.

2. L'Adescamento (L'Amo)

Sovrapposta a questo filmato di gameplay rubato, apparirà una grafica enorme che promette un giveaway. Dirà qualcosa come:

  • "!DROP - SCANSIONA PER RICEVERE UN COLTELLO GRATIS"
  • "RICOMPENSE PER GLI SPETTATORI DELL'ESL MAJOR - SCANSIONA IL QR PER COLLEGARE L'ACCOUNT"
  • "GIVEAWAY DI ADDIO DI S1MPLE - SCANSIONA PER PARTECIPARE"

Accanto al testo ci sarà un grande e chiaro codice QR.

3. L'Esecuzione (La Trappola)

La truffa si basa sul farti agire in fretta, prima di pensare.

  1. Credendo di stare guardando uno stream ufficiale e volendo skin gratis, apri la tua app mobile di Steam.
  2. Apri lo scanner di codici QR all'interno dell'app e lo punti verso il tuo monitor.
  3. L'app Steam ti chiederà di confermare un accesso. Poiché pensi di star "collegando" il tuo account allo stream per ricevere un drop, clicchi su "Conferma".

La realtà: Il codice QR sullo stream è stato generato dinamicamente dallo script di accesso automatizzato del truffatore sul suo server. Quando hai cliccato su conferma, non hai collegato il tuo account a un giveaway; hai autorizzato il server del truffatore ad accedere al tuo account Steam.

4. Le Conseguenze

Poiché hanno utilizzato il metodo di login tramite QR code, il truffatore aggira la tua password e il tuo normale codice di autenticazione a due fattori (2FA). Ora hanno una sessione attiva e autenticata. In pochi secondi, script automatizzati spoglieranno il tuo account di tutti gli oggetti commerciabili, instradandoli attraverso una rete di account intermedi.

Come Proteggersi

Difendersi da questa truffa richiede un cambiamento radicale nelle abitudini riguardo all'app mobile di Steam.

  • La Regola d'Oro dei Codici QR: Lo scanner di codici QR nella tua app mobile di Steam ha UN SOLO SCOPO: effettuare il login nel software ufficiale del Client Steam o sul sito web ufficiale steamcommunity.com su uno schermo fisico che controlli tu.
  • Non scansionare mai un codice QR da un video, una diretta streaming, un messaggio su Discord o un sito web esterno.
  • I drop ufficiali non funzionano così. I drop legittimi dei tornei o le integrazioni con altre piattaforme (come collegare Steam a Twitch) vengono gestiti tramite un collegamento API OAuth sicuro (cliccando un pulsante che ti reindirizza a una pagina di login sicura di Steam), MAI tramite la scansione di un codice QR su un video.
  • Verifica le Dirette Streaming: Se una diretta streaming afferma di essere di un giocatore famoso che regala oggetti, controlla attentamente il nome del canale. I canali falsi spesso hanno piccoli errori di ortografia o mancano del segno di spunta "Verificato" che si trova sulle piattaforme legittime.

La comodità del login tramite codice QR è ottima per i tuoi dispositivi, ma è un'arma carica se puntata verso lo schermo sbagliato. Tratta lo scanner QR di Steam con la stessa estrema cautela con cui tratteresti il consegnare il tuo telefono fisico a uno sconosciuto.

Tag:#scam#steam

Articoli correlati

Prevenzione delle Truffe in CS2: Tutti i Tipi di Frode e Come Proteggersi
Guide

Prevenzione delle Truffe in CS2: Tutti i Tipi di Frode e Come Proteggersi

Scopri ogni tipo di truffa in CS2 e come difenderti. La guida definitiva per i trader ti insegna a riconoscere le trappole da lontano, per proteggere le tue skin come la Fire Serpent e la Howl.

La Truffa dello Scambio Oggetti in CS2: Non Distogliere lo Sguardo dalla Finestra di Scambio
Antifrode

La Truffa dello Scambio Oggetti in CS2: Non Distogliere lo Sguardo dalla Finestra di Scambio

Un secondo di distrazione può costarti il coltello. Scopri come funziona la classica truffa dello scambio oggetti in CS2 e come non cadere mai nella trappola.

La Truffa del Falso Amministratore: Perché Valve Non Ti Chiederà Mai i Tuoi Oggetti
Antifrode

La Truffa del Falso Amministratore: Perché Valve Non Ti Chiederà Mai i Tuoi Oggetti

Truffatori si spacciano per l'Assistenza Steam, amministratori Faceit e arbitri di tornei per rubare il tuo inventario. Scopri come smascherare le false figure autoritarie.

QR Code Phishing (Streamjacking): La Nuova Minaccia per gli Account Steam | TAKE.SKIN