图片来源:Bleeping Computer
正值黑色星期五和Steam秋季热销。
有些人以折扣价买到了心仪的游戏。
而有些人却掉进了皮肤赠品的陷阱中。
现在的黑客门槛越来越低,在国内外关于Steam的骗局手段也越来越丰富。你苦心经营十几年的账号,可能黑客转手一个几块钱就卖掉了。
近期,一个假冒的Steam网站发起新一波钓鱼活动,该站点利用皮肤赠品来诱惑玩家点击,并最终达到盗号的目的。
而这次的钓鱼攻击的途径主要是通过在你的个人资料下评论:“亲爱的玩家,您的SteamID选中了每周赠品。”
有免费的为什么不要?如果抱着这样的心情,那么恭喜你,左脚已经踏进了骗局里。
紧接着如果你访问该网站,则会显示如下所示的界面:
看起来一切都很正常,该页面的右边显示该赠品价值30000美元,左侧会显示一个正在不断弹出新消息的聊天室。
在很多游戏中我们也会看到不断弹出的玩家的对话,这个钓鱼网站也使用聊天室增加真实性,然而却并不是实际的网站访问者的对话,那么它如何做到以假乱真的呢?
该黑客团体使用JavaScript脚本,创建一系列短语,而这些短语都是随机选择的,例如湖人队的比赛以及其他NBA比赛等时事,让这些随机的字符串看起来更像是真实的对话。
此外,该钓鱼网站称该赠品是由G2A、Handouts、FaceIt等平台赞助的,很明显是不可信的,只是用这些大牌来吸引你的眼球。
分分钟账号被盗
黑客做了这么多铺垫工作就是为了让你相信这不是一个钓鱼网站,接下来就到了关键时刻了。该网站会让你使用Steam凭据登录,以获取免费皮肤。
如果你掉进了该陷阱,将会显示伪造的Steam登录界面,这个页面看起来跟普通的没什么两样,一旦输入登录凭据,你的账号将彻底被攻击者劫持。
接下来可想而知,Steam账号被盗,攻击者利用你的账号进行物品交易轻而易举,多年苦心经营的账号就此毁于一旦。
值得庆幸的是,目前由于该网站被多人举报,再加上相关媒体的报道,如果有玩家访问该站点,则会显示钓鱼网站的警报。
为了避免此类钓鱼网站的攻击,所有Steam用户需要通过steampowered.com官方域名登录,并且在输入密码前对站点域名仔细检查一下。
还有一点需要谨记:天下没有白吃的午餐。
这只是众多盗号方法中的一种,黑客窃取游戏账号已经形成一条完整的产业链,如何真正保障玩家安全,仍需要各大商家和政府机构采取措施,才能彻底规范游戏市场。
* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。
* 原文链接:
https://www.bleepingcomputer.com/news/security/fake-steam-skin-giveaway-site-steals-your-login-credentials/