I cybercriminali hanno tirato fuori dal cappello l’ennesimo trucco, e questa volta nel mirino c’è chi passa le serate davanti ai videogiochi. Da qualche giorno girano in rete delle pagine fasulle che propongono una finta verifica Steam, e il risultato è che parecchi gamer si ritrovano improvvisamente fuori dal proprio account, senza più accesso alla libreria di titoli accumulati negli anni. Per chi non la conoscesse, Steam è la celebre piattaforma di Valve Corporation, quella che permette di comprare videogiochi a prezzi spesso vantaggiosi e che gestisce distribuzione digitale e modalità di gioco online.
Gli esperti di Malwarebytes hanno messo nero su bianco come funziona il raggiro. La truffa sfrutta delle false pagine di verifica FACEIT costruite con cura, complete di logo ufficiale, link che funzionano davvero e quella che sembra a tutti gli effetti una vera schermata di accesso a Steam. Quando arriva la richiesta della password, molte vittime sono convinte di avere a che fare con un servizio autentico. E qui sta il punto: questa truffa funziona proprio perché non ha l’aria di una truffa. Il marchio convince, la spiegazione regge e persino la finestra di login appare credibile.
FACEIT, va detto, è una delle piattaforme più grandi per Counter-Strike 2. La usano milioni di giocatori per partite, tornei e campionati, anche grazie ai suoi sistemi anti cheat avanzati, un argomento che chi gioca online prende molto sul serio. Di solito gli utenti collegano il proprio account Steam per accedere a FACEIT più comodamente, e proprio quel collegamento diventa un bottino ghiotto per i malintenzionati.
Cosa rischia chi cade nella falsa verifica e come funziona davvero
Un account Steam rubato con questo metodo è una miniera per gli aggressori. Dentro ci sono giochi acquistati che possono valere centinaia o migliaia di euro, skin e oggetti di Counter-Strike 2 che a volte raggiungono cifre considerevoli in denaro reale, il credito presente nel portafoglio insieme ai metodi di pagamento salvati, e infine anni di amicizie, messaggi e reputazione costruita nella community. Insomma, non si parla solo di soldi.
L’attacco parte sempre da un sito che riproduce alla perfezione una pagina ufficiale di FACEIT. Queste pagine fraudolente girano probabilmente attraverso gli stessi canali che i giocatori frequentano ogni giorno, cioè forum della community, server di chat, post sui social e messaggi diretti. La pagina racconta che FACEIT offrirebbe una verifica dell’identità gratuita e facoltativa, utile a rendere la community più affidabile. È curata nei dettagli, usa il marchio corretto e include perfino link veri al blog e al supporto ufficiale. Tutto è pensato per far abbassare la guardia, ma di autentico non c’è nulla.
Per difendersi da questa truffa online conviene tenere a mente qualche regola semplice. Controllare sempre la barra degli indirizzi per verificare l’URL reale, diffidare dei QR Code sfocati e leggere ogni richiesta di urgenza come un campanello d’allarme, perché spesso nasconde proprio l’inganno. E poi una buona abitudine vale più di mille controlli: andare direttamente alla fonte ufficiale, senza fidarsi dei link ricevuti chissà dove.
