A. 介紹幾個英文單字
1. Valve, V A L V E = Valve
a. 閥;活門 // ref: 劍橋詞典 https://goo.gl/SeRLPm
b. 開發電子遊戲的美國公司 // ref: wikipedia https://goo.gl/tv2ZBg
2. Steam, S T E A M = Steam
a. 蒸汽,水蒸氣 // ref: 劍橋詞典 https://goo.gl/wUetm2
b. PC電子遊戲平臺 // ref: wikipedia https://goo.gl/HskWQ5
3. community, C O M M U N I T Y = community
a. 社區;群體;社團,團體 // ref: 劍橋詞典 https://goo.gl/Am62mC
b. 和steam一起構成Steam官方社群網址
如: i.遊戲社群中心網址: steamcommunity.com/app/220
ii.Steam個人檔案頁面網址 steamcommunity.com/id/strykery/
iii.注意: Steam官方社群網址前半段,
就只 steam community 這2個英文單字。
小心偽物網址 steamacommunity 兩字中間多了a, 是假網站
小心偽物網址 steamcommmunity community中間多了個m, 是假網站
// ref: gamasutra https://goo.gl/2aKqyI
B. 假網站受害者的經驗 from Steam CSGO社群 https://goo.gl/4y8vwj
Google翻譯為英文後,粗略整理如下 // 求神人幫翻譯原文 m(_ _)m
(1)苦主看到一個如上所說的網址
(2)苦主沒想太多點了進去,開啟瀏覽器;
執行一個exe檔後,被要求登入Steam,好像還貼上Steam Guard code (?)
(3)結果他損失了一些很重要的東西
C. Steam盜竊者如何盜取使用者個資 from gamasutra https://goo.gl/2aKqyI
1. 利用假網站,
放置假的遊戲工具軟體,
並透過email或社交網站傳訊,散播假的工具軟體的下載連結。
這些假的遊戲工具軟體,本身是惡意軟體(malware)。
2. 一旦使用者執行這些假的工具軟體,
這類惡意軟體裡的憑證竊程式會:複製/轉移/提取(exfiltrate)使用者電腦裡,
一定數量、用於Steam帳戶授權的關鍵檔案。
這些遭複製/轉移/提取的關鍵檔案,
包含調控用的設定檔(configuration settings),
也包含一些Steam Guard的核心設定(core Steam Guard settings)。
這也就是為什麼即使你設定了兩步驟驗證,
這類攻擊也能躲過這道驗證;
因為這種攻擊模式,
就像一種pass-the-hash或cookie-stealing attack. //有請大神幫忙翻m(_ _)m
3. 對這些數位小偷來講,
真正有價值的,可能不會是使用者收藏庫裡的遊戲,
而是使用者物品庫裡那些收集品,或儲存在Steam裡的個人資料,
比方說信用卡資料,或慣用的Email等。
D. 如何識別這類假網站
1. Valve Steam 官方網頁提供的網址列驗證
http://i.imgur.com/9lnRbFp.png
官方 Steam 網站會在瀏覽器中的網址列,
以綠色掛鎖的圖示方式顯示「Valve Corp.」。
2. 登入前再三仔細檢查網域名稱
一些假網站用的大多是官方網站少一個字或多一個字的網域。
// ref Consumer rights https://goo.gl/idvWlk
希望大家看到網址點下去前,
都能再三檢查仔細確認要登入的網頁,
是否真是Steam官方的登入網頁,還是只是一個假的詐騙網站(scam)。