網路普及就難免有不肖人士潛伏其中,想方設法地從用戶手上騙取個資、帳密、財物等,網路釣魚可以說是老祖宗等級的「長青不敗款」手法,而利用的管道更是五花八門,之前比較常見於在電子郵件、假冒各種中獎或危言聳聽的網站,不過國外有網友發現連 Steam 也成為不肖人士的目標。
新型網路釣魚魔爪伸向 Steam,登入視窗真假難辨就是要騙
疫情期間玩家滯留於各大遊戲平台的時間變多了,也使得不肖人士將目光放到知名遊戲平台 Steam 上面。Reddit 論壇上有網友發現一個新型的釣魚模式,它其實相當類似於傳統釣魚詐騙,一開始看起來還算正常,就是以 Steam 好友的名義要求你幫忙到 Steam OAuth 上面去為他們的團隊投票。
投票前,就像其他與 Steam 連動的合法網站一樣必須用 Steam 個人帳號進行登入,接下來,網友發現當你按下「透過 Steam 登入」後,在分頁中會出現一個虛擬彈出視窗,這個視窗是以 CSS 在目前網站上面加上一層,讓你誤以為出現一個新的視窗。這個假視窗不管 UI 元素或是各種圖示都和真正的 Steam 登入視窗相同,用意在於讓你誤以為正在使用官方的登入頁面,並且誤以為在此輸入帳號密碼是安全的。更糟糕的一點是,如果你本身有啟動雙重驗證機制(2FA),它會要求你在手機上接收 2FA 代碼,如果你毫無警覺地輸入後,它會將你的 Steam 身分驗證應用直接記錄到攻擊者的設備中,而你會被鎖在帳號外動彈不得。
這並非不法人士首次利用 Steam 彈出視窗來進行網路釣魚,隨著網路釣魚行為的變種出現,使用者應該要更注意蛛絲馬跡,單是辨認 HTTPS 、網址與網名稱已經不足以防範,千萬要小心防備,不要在陌生、可靠性堪慮的其他地方填寫個人登入資訊才是上策。