想必很多玩家都有过这样的经历:突然Steam上有人给你发消息,要求你帮忙投某支队伍或者加入DOTA/CS:GO战队的邀请,要求你点击一个链接,通过网站登录“Steam”。当然这是钓鱼企图盗取你的账号,对方往往是被机器人控制的被盗账号。几天前,又发现了一种全新的黑客攻击方式。
保安公司集团-IB
称今年早些时候“突然出现”了一种全新的钓鱼技术。这种钓鱼方法最早是由研究人员d0x先生发现的,此后一直在欺骗Steam用户。该公司称,这种钓鱼方法的关键在于,攻击者不仅模仿网页,还模仿完整的弹出浏览器窗口。这使得诈骗者可以展示假货
SSL证书安全锁logo等假象来让假的Steam登陆页面以假乱真。
在Steam上,这种骗局的主要目标是竞技玩家和职业玩家,他们仍然会被邀请加入球队。如果他们上钩,链接将导致一个真实的游戏锦标赛平台的网页,并要求他们使用它。
登录Steam帐户。Steam登录弹出窗口当然是假的,它不是真正的窗口,而是页面中运行的代码。
伪造的弹出窗口包括伪造的安全证书,并支持多种语言。它可以被最大化、最小化和移动。用一个人的
Steam凭据登录合法网站的情况并不少见,所以有些用户可能不会多想,因为窗口乍一看没什么问题。
根据
哔哔声电脑声称攻击使用
Javascript,所以阻止脚本的扩展可以通过阻止代码运行来提供一些保护。
