我在挖掘一些最近与Steam相关的钓鱼网页时,发现了一些我之前从未见过的内容:一种绕过额外安全措施窃取Steam账户的新方法。
典型的Steam钓鱼页面要求用户名和密码,就像所有的钓鱼攻击一样——通常这些可以通过在你的帐户上启用Steam Guard来阻止。
Steam Guard是什么?
当你在一台没用过的电脑上登录时,蒸汽保护将弹出一个窗口,要求验证码将已发送到您的电子邮件地址。没有代码,你就无法登录。骗子们想出了一种新颖的方法来试图绕过这种安全措施。
他们是怎么做到的?
一个潜在的受害者将导航到钓鱼页面,并输入他们的用户名和密码。
此时,他们将看到以下弹出框:
看起来很像Steam Guard的弹出框,上面写着:
我们看到您正在从新浏览器或新计算机登录Steam。或者也许这只是一段时间......
作为一个额外的帐户安全措施,你需要通过从你的Steam文件夹上传特殊的ssfn*文件来授予访问该浏览器的权限…
Ssfn*文件包含您的ID号,并位于一个目录Steam文件夹
(... /程序文件/ Steam / SSFN *)
将此文件发送给骗子允许他们将其放入他们的Steam目录,并作为受害者登录,同时避免了Steam Guard安全提示,要求将验证码发送到文件上的电子邮件地址。
什么是SSFN文件?
SSFN文件可以让你在每次登录Steam时都不用通过Steam Guard验证自己的身份。例如,如果我删除了自己的验证码,我就必须登录自己的电子邮件帐户,从Steam上找到一个全新的验证码。
在我完成这一步并输入代码后,一个全新的SSFN文件在Steam文件夹中创建,我又回到了被额外的安全层保护的状态。下面是这个文件:
测试,测试……
我们做了一些测试,可以确认这种技术——要求受害者将他们的SSFN文件发送给骗子——确实有效。在下面的截图中,我们试图从一个新的机器/ IP /位置/其他任何东西登录到一个Steam Guard保护的帐户:
“你好!我们看到你正在用一台新电脑登录。作为一项额外的安全措施,你需要输入我们刚刚发给你的电子邮件地址的特殊代码来授权进入这台电脑。
在这一点上,骗子将被挫败,除非他们也可以访问受害者的电子邮件帐户。但是,让我们假设受害者通过网络钓鱼页面。从那里,我们拍摄受害者的SSFN文件,将其放入骗局计算机上的Steam目录中,尝试再次登录并...
成功!我们在。
似乎这个已经存在了至少一个月左右,在进一步挖掘之后,我们发现了一个线关于它的Reddit。
妥协的Steam账户是一项巨大的业务,特别是对于那些想要劫持那些在库存中拥有稀有道具的账户的人来说(他们会将道具“交易”到骗子的账户中,然后骗子将其出售以获得自己的利益)蒸汽市场比如使用Steam Wallet中的新资金购买游戏)。
更不用说,他们可以免费体验你的所有游戏。哎呀!
当以Steam用户登录时,他们将能够看到受害者的购买历史,更改当前的电子邮件地址,当前的Steam密码,禁用Steam Guard,更改个人资料名称和更新存储的支付方法(如果有的话)。
他们不能用存储卡购物,因为Steam要求你重新进入安全代码当付款。
Steam自己也意识到了这个问题,Steam论坛的mod警告用户,发送骗子的SSFN文件不会有好结果。1], [2].论坛本身在受害者中堆积了一条漂亮的线[1], [2], [3.], [4], [5], [6], [7], [8], [9].
这是一个用户发布的支持的票详细说明他们在被欺骗时丢失的游戏项目上传他们的SSFN。
在一个奇怪的命运转折中,一些mod之前曾建议用户将他们的SSFN从一台机器复制到另一台机器避免移动到新机器时15天的交易延迟。对便利的渴望以一种他们无法想象的方式伤害了一些玩家。
Steam能做些什么呢?
这是个好问题。Steam最大的优点是灵活性——如果你想在台式机和笔记本电脑之间快速切换,它会让你这么做。Steam Guard并不笨重,也不会在你授权一台机器时烦扰或妨碍你。
和约6500万活跃账户在那里,骗子在全球游戏人口中有相当大的一部分可以选择他们的目标(根据维基百科,这个数字现在已经有些了7500万年75%的游戏是通过Steam在PC上购买的)。
当他们让Steam Guard更具侵入性或收紧安全螺丝时,他们就会冒着疏远玩家的风险,并且使用该功能的吸引力将变得越来越小。
我们花了很多时间建议人们不要从不可信的来源下载文件,但很明显,我们都需要让人们知道,有时上传文件到奇怪的目的地可能会还这会给所有人带来糟糕的体验(游戏邦注:除了那些在你的《半条命2》中玩得很开心的骗子)。
克里斯托弗·博伊德(感谢约书亚获取设置测试的帮助)
评论