想必有许多玩家都有过这样的经历:Steam 上突然有人给你发了一条消息,要你帮忙为某个战队投票或是加入 DOTA/CS:GO 战队的邀请,要求点开一个链接并通过网站登陆“Steam”。当然,这是试图盗走你账号的钓鱼,而对方往往是由机器人控制的被盗账号。日前,又有一个全新的盗号方式被发现。
网络安全公司 Group-IB 表示,一种全新的网络钓鱼技术在今年早些时候“突然出现”。这种钓鱼方式最早由研究员 mr.d0x 发现,并且自那时起就一直在诱骗 Steam 用户。据该公司称,该钓鱼方式关键在于攻击者不只是模仿网页,而是模仿完整的弹出式浏览器窗口。这使得诈骗者可以通过显示伪造的 SSL 证书安全锁标志和其他假象来使虚假的 Steam 登陆页面看起来像是真的一样。
在 Steam 上,该骗局主要目标是竞技玩家和职业玩家,他们依然会受到加入战队的邀请。如果他们上钩,链接会引导至一个看起来真实的游戏锦标赛举办平台网页,并要求他们使用 Steam 账号登陆。Steam 登陆弹出窗口当然是假的,并且并不是一个真的窗口,而是页面里运行的代码。
伪造的弹出窗口包括伪造的安全证书并支持多种语言。它可以最大化、最小化和移动。使用一个人的 Steam 凭据登录合法网站并不少见,因此一些用户可能不会考虑更多,因为乍一看窗口并没有什么不妥之处。
根据 Bleeping Computer 的说法,该攻击使用 JavaScript,因此阻止脚本的扩展可以通过阻止代码运行来提供一些保护。