[閒聊] steam新的詐騙：假的彈出視窗 h0103661 PTT批踢踢實業坊

[閒聊] steam新的詐騙：假的彈出視窗

作者: h0103661 (路人喵) 2022-09-14 18:59:21

巴哈討論&中文新聞稿
https://forum.gamer.com.tw/C.php?bsn=60599&snA=38750&tnum=3
公布這種手法的英文網站
https://blog.group-ib.com/steam
https://i.imgur.com/4qMf7qk.jpg
就是像這樣，很普通的彈出steam認證的分頁
有憑證、網址也100%正確
看起來一切正常
但實際上那個"分頁"是假的
steam畫面是釣魚網站「畫」出來的
預防方法很簡單：不要點進任何非官方連結
因為這種假彈窗的前提是使用者已經進入釣魚網站
除了steam已經有案例以外
也有人用相同手法複製出google/facebook的版本
github：https://github.com/mrd0x/BITB
(這無毒，只是一個畫彈窗的範例code)

作者: chen11907 (紅票) 2022-09-14 19:02:00

上當的人如果有steam guard 手機驗證還會被盜嗎

作者: h0103661 (路人喵) 2022-09-14 19:04:00

會，因為一樣會有假的guard輸入畫面等使用者輸入驗證碼

作者: chen11907 (紅票) 2022-09-14 19:05:00

太狠了吧

作者: TyrantTex (奧古斯丁) 2022-09-14 19:06:00

真的是防不勝防感謝提醒

作者: Peugin (冷凍企鵝) 2022-09-14 19:09:00

這種詐騙之前在ptt上有討論，我沒記錯是偽裝discord

作者: h0103661 (路人喵) 2022-09-14 19:10:00

對，之前是偽裝dc

作者: Peugin (冷凍企鵝) 2022-09-14 19:13:00

查了一下原來在這版的一年前

作者: spfy (spfy) 2022-09-14 19:13:00

這個很久了但偽裝Steam應該是新消息

作者: kurtsgm 2022-09-14 19:30:00

這很久了....

作者: nickexe (nick.exe) 2022-09-14 19:37:00

一切登入只在官方網址登入，凡第三方網站跳出要你輸入都不要填帳號密碼，基本上可以避免掉這種詐騙因為有在官方先登入，這種跳出只會向你確認是否要登入不會要你填帳號密碼現在Steam Beta又有qrcode登入，更可以免除輸入風險

作者: hsparrot (飛高高) 2022-09-14 20:25:00

換和預設值差很多的外觀主題解決

作者: nisioisin (nemurubaka) 2022-09-14 20:37:00

越來越危險了耶

作者: p2p8ppp (給我錢) 2022-09-14 20:38:00

好可怕...

作者: Segal (Dino) 2022-09-14 20:51:00

老招了只是很有用，因為Google強制HTTPS後，看到有鎖頭反變成一種條件反射。結果被利用

作者: bloodruru (心在哪答案就在哪) 2022-09-14 21:22:00

這比較像是利用google登錄的習慣因為你用了非官方網站仍跳出了steam的登錄畫面你習慣於這樣就登錄來獲取服務自然會中標

作者: nayeonmywife (sanamywife) 2022-09-14 21:24:00

重點在於第一個網站

作者: lazioliz 2022-09-14 21:54:00

太假

作者: bu17 (bu17) 2022-09-14 22:12:00

帳密到處登被盜剛好...

作者: haleyye (毛怪) 2022-09-14 22:21:00

要不是我有自動填寫不然光用看的真的很難分辨真假啊...

作者: alan3100 (BOSS) 2022-09-14 22:57:00

其實蠻明顯的..主要是你要從分頁列判別是否是真的分頁第2點是如果主要網站登入過就不會要求你再登入一次例如你已經登入google 其他網站要求權限不會要你再登入

作者: ma721 (UndeadJ) 2022-09-14 23:35:00

為什麼想在網頁上登入steam

作者: a07051226 (葡萄糖) 2022-09-15 00:11:00

密碼管理器自動匹配網址提示填入帳號密碼其實不好說，我自己的cookies會設定自動清理QRcode 登入不會解決這個問題啊，他幫你把 QRCode 拉過來你還是幫他授權了

作者: h0103661 (路人喵) 2022-09-15 01:14:00

我會用網頁登steam只有要裝工作坊的時候，分頁比較方便

作者: garlic1234 (蒜頭) 2022-09-15 02:43:00

Steam應該要自己偵測異常ip 登入的，已經與手機app連動的狀況下要做到示警不難

作者: godtnmai (LiN) 2022-09-15 03:49:00

我記得這個之前就有 Steam板也曾討論過

作者: Simon951434 (鮭魚喝飽了 ^0^) 2022-09-15 04:33:00

視窗能動嗎？網址能改嗎？點其他區塊有效嗎？https://youtu.be/uS9h24IKKb0假的好像拉不出去

作者: Orenjifurai (橘子蠅) 2022-09-15 07:26:00

很久就有的給你一張假的steam登入圖騙輸入

作者: awenracious (Racious) 2022-09-15 08:28:00

還好我從來都不會從網頁登入只會從程式執行的時候登入

作者: zxc2331189 (CCSS) 2022-09-15 08:46:00

這招很猛欸

作者: nwoxlxyz 2022-09-15 08:49:00

如果都用瀏覽器的自動輸入密碼能避免這個詐騙嗎？瀏覽器自身應該不會在假的彈窗自己輸入密碼吧？

作者: Davinais (水靈流喵) 2022-09-15 11:06:00

第三方登入要密碼我都會另外回去 steam 看我有沒有登入，只在官方頁面登入也算是一種反制方式吧

作者: Kenqr (function(){})() 2022-09-15 12:04:00

自動輸入可以避免

作者: YeaPa (葉胖) 2022-09-15 12:37:00

我記得兩三年前就看過了

作者: YoooooM (YoooooM) 2022-09-15 14:41:00

感謝分享有像之前的社交工程詐騙欸，這看起來偽裝的滿好的，不過只要連結有問題，一般釣魚來說我是裝趨勢的PCCILLIN都可以過濾啦

作者: LonyIce (小龍) 2022-09-15 16:51:00

現在好多網站都要你用別的網站帳號密碼登入

作者: husky9487 (月月) 2022-09-15 22:42:00

我chrome彈窗一律強制新分頁，騙不到我

作者: pro1028 (丸丸) 2022-09-16 09:00:00

幾年前就有了沒被騙過嘻嘻

作者: nickexe (nick.exe) 2022-09-19 17:26:00

@a07051226 你先去搞懂 QR Code 登入原理

作者: a25785885 (SuperbbMan) 2022-09-21 18:25:00

好多年了……

繼續閱讀

Fw: [新聞] 新釣魚攻擊「瀏覽器中的瀏覽器」竊取玩家wizardfizban [CSGO] ESL Pro League S16 Group C Day 1leon020315 Fw: [心得] 鋼之崛起Steel Rising主線剪輯+破關心得h1236660 [新聞] 人中之龍維新！極 2023年2月21日發售achtungd Re: [新聞] 光榮特價9/13～9/27erikaptt [問題] VARIOUS DAYLIFE這遊戲好玩嘛??ikr3699654 [新聞] 《三角戰略》PC版將於10月中發售Layase [實況] 來摸摸《最終幻想2》當肉asdkindkind7 [心得] 尼羅河勇士2，戰旗小品CSSun [閒聊] 刺客信條奧德賽支線是不是互相類似??zz2895341