这是一个创建于 1085 天前的主题,其中的信息可能已经有所发展或是发生改变。
有一说一这个网站做的很有创意,通过好友信息让你帮忙投票。我没注意就输入账号密码和令牌正常登陆了,还好有令牌,马上反应过来后修改了密码。建议大家一定要绑定手机令牌啊!
PS. 不知道在这种页面中登陆后的 cookie 不知道是否会被用来做坏事,目前 PUBG 、CSGO 、库存还没看到什么异常。
第 1 条附言 · 2021-11-28 08:16:50 +08:00
这个钓鱼网站构造的 Steam 登录界面甚至还做了移动版的自适应。
第 2 条附言 · 2021-11-28 08:20:25 +08:00
我有个大胆的猜想,既然做了套接字获取登录状态,那么在用户登录成功的时候除了 post 记录账号密码,是否可以对登录的 cookie 做跨域之类的保活,然后通过聊天系统自动向其好友发送钓鱼链接?这种认识的人或者很熟的网友发过来的链接要你帮忙投票很多人戒心会不会直接为零了,这样就会变成指数级增长的病毒式钓鱼。
第 3 条附言 · 2021-11-28 15:54:14 +08:00
这个网站是真的有转发账号密码到官网进行验证的步骤,开启二步验证以后你输入正确账号密码以后钓鱼网站还会弹窗找你要令牌代码!不得不说这个钓鱼网站的制作者技术水平足够高。
另外感谢 @zhaidoudou123 85# 的提醒,如果在网站中输入了正确的账号密码,记得去重置一下自己的密码、交易API。
 |
101
HaneRo 2021-11-28 16:30:19 +08:00
另外这网站是不是专门骗国人的?我科学之后打不开它
|
 |
103
mxalbert1996 2021-11-28 16:40:03 +08:00 via Android
不说 Chrome 直接提醒我这是诈骗网站,就算进去了并且没注意到域名不是 Steam ,Chrome 不给我自动填充也足以让我意识到不对劲了
|
 |
104
shiny 2021-11-28 16:43:41 +08:00
mac 用户看到了模拟窗口笑出了声
这么精致的钓鱼网站也是第一次见 |
 |
105
Wataru 2021-11-28 16:46:47 +08:00
iOS Safari 给我弹窗这个,笑死,不过就凭这个能让太多人上当了
|
 |
106
iAIR 2021-11-28 17:36:21 +08:00  1
终于有人做了我长期以来一直想做的这种钓鱼,哈哈哈。
打从看到“第三方登录”的第一天起,我就疑惑我如何确保那个登录框真的是可信第三方网站,而不是当前网站自绘的。你别说 Steam 了,像银行卡 CVV 信息照理来说商户也不能存储的,然而实际有些商户就是会存(比如几年前曝出来的 Ctrip )。 |
|
107
iAIR 2021-11-28 17:40:52 +08:00
这个钓鱼网站,拯救我的是 1280x720 的低分辨率(试图拖动假窗会导致窗口飞出画面被阶段)
|
 |
108
mytsing520 2021-11-28 19:21:10 +08:00
看来已经被 abuse 了
 |
 |
109
leafre 2021-11-28 20:19:55 +08:00
学会了,这招雀食不错
|
 |
110
x86 2021-11-28 20:25:09 +08:00
有一说一做的蛮好看的
|
 |
111
vanton 2021-11-28 22:36:26 +08:00
在我电脑上分辨率就不对。。。
|
 |
112
Youkochan0v0 2021-11-28 23:05:46 +08:00
我直接打不开,点掉 Cloudflare 的 warning 后进去直接白屏
|
 |
113
Pika666 OP @Youkochan0v0 你来晚了,哈哈哈哈
 |
 |
114
gggccc44 2021-11-29 02:03:10 +08:00
点了地址我的浏览器是 Cloudflare 提示钓鱼,英文提示
|
 |
115
ipcjs 2021-11-29 04:18:10 +08:00
谁把它举报了,我都没看到呢。。。
站长能不能换个域名让我体验下😅 |
 |
116
iBugOne 2021-11-29 04:39:35 +08:00
@ipcjs #115 有人在 #61 楼给出了一个新链接 challengermode de com (空格换成点)我看了一下和被 Cloudflare 屏蔽的网站一模一样
[警告] 这个链接还是钓鱼网站,谨慎访问 |
 |
117
dingwen07 2021-11-29 07:09:24 +08:00
https://raw.githubusercontent.com/dingwen07/images/main/2021/11/20211128180901_309090af6d1d5b0ec411170f36f3ee6d_Snipaste_2021-11-28_17-28-10_Suspected phishing site Cloudflare - Microsoft E.png
被 CF 制裁了 |
 |
118
snsn 2021-11-29 07:27:46 +08:00
egde 打开直接提示是骗子网站
|
 |
119
SSang 2021-11-29 09:11:09 +08:00 2
> 我有个大胆的猜想,既然做了套接字获取登录状态,那么在用户登录成功的时候除了 post 记录账号密码,是否可以对登录的 cookie 做跨域之类的保活,然后通过聊天系统自动向其好友发送钓鱼链接?
steam 的第三方认证出来的 cookie 一般来说是禁止跨域调用的,这种大网站对 csrf 攻击的防御能力不太需要担心。你泄漏的大概率只有账号和密码。 > 这个网站是真的有转发账号密码到官网进行验证的步骤,开启二步验证以后你输入正确账号密码以后钓鱼网站还会弹窗找你要令牌代码! 这是 steam 的第三方认证接口,是公开的,类似于 oauth ,任何人都能调用,他会给第三方提供有限的你的权限,一般来说只提供访问身份信息的权限,但跳转到官方认证的页面一定要注意这个网站请求了你哪些权限。 |
 |
120
cco 2021-11-29 09:13:56 +08:00
单反能再多看一眼网站也不会被骗,单反去贴吧搜被骗贴也不会被骗。
当真是 xx 太多,骗子不够用了? |
 |
121
Leonard 2021-11-29 09:18:45 +08:00
macOS 一眼识破。。
这是只骗 Windows 用户么。。 |
 |
123
jonahtan 2021-11-29 09:40:30 +08:00
|
 |
125
unclemcz 2021-11-29 11:10:12 +08:00 1
|
 |
126
cenbiq 2021-11-29 16:56:46 +08:00
卧槽新玩法啊,windows 窗体都给模仿出来了,我见过最牛逼的盗号网站是模仿了 QQ 的授权网站,然后域名藏在 ...tencent.com/... 下,我当场直接惊呆了,不知道怎么做到的。
大多盗号网站还会假装帮你“认证”一下,提交第一次账号密码时大概率会出现登陆失败让你怀疑自己输错了重来,顺便顺走你两次的输入内容,同时还能防止有的人真的输错了😓 |
 |
127
zhangpeng2k 2021-11-29 20:12:57 +08:00 1
朋友之前在 Steam 送了我一个大概价值一千块的 CSGO 饰品,我持有这个饰品期间就遇到了无数的机器人账号主动添加我...
骗术还有好多种,贴主的这种算是比较常见的。可能因为成功率比较高吧?大多数机器人加到我之后都会跟我说:‘我们在和鬼佬打比赛,可以帮我投一票吗?’ 又发一条钓鱼链接过来。这样,算是这几年遇到的拟真度最高的钓鱼网站了 |
 |
128
flynaj 2021-12-05 01:45:54 +08:00 via Android
@Pika666 这个服务是由 https://safebrowsing.google.com/ 提供的,能连上就会提示。
|
Select Language