解析Steam“为战队投票送游戏”骗局的盗号原理（扫码也被盗）

“为我战队投票”等骗局最后给你的都是网页链接，让你进去登录，这类全部归到“Steam网页盗号”。本文分析会从前台（钓鱼网站）、后台（服务器）两部分展开。

首先，一个漂亮头像的，不对，一个狡猾的妹妹通过steam战局内加了你，

你们打过几次游戏后，你觉得她是一个正常玩家，有一天她参加了一个比赛，希望你帮她投一票

你就想，反正动动手指的事就能帮到人，何乐而不为，然后点了链接，进入了一个看着很不错的网站，然后你半信半疑的进行了投票

因为整个流程动图太大小黑盒不给传，我分2个gif，想看完整gif的点链接

img.cdn1.vip/i/69348cd59897f_1765051605.webp

我们先看盗号流程：

第一次测试登录，发现可以被识别（上下两个动态图需要连起来看

第二次登录正确密码也可以识别

再来看一遍附带解说的动态图

完整gif见这里：

https://img.cdn1.vip/i/6934919bdb148_1765052827.webp

解说1（上下动态图需要来连起来一起看

解说2

整个盗号过程就是：投票->steam登录->邮箱验证码->完成盗号

我们详细来分析，下面是钓鱼网站，这些东西都只是为了增加信任度

当你点击通过steam登录时，来到下图这个登录页，这是高仿的，并非steam页面。

那为什么这个页面标题栏不会显示steam域名或者是假steam网站域名呢。

这个说起来可能要算浏览器的漏洞，一个网页A可以请求打开空白页（即你看到的地址为about:blank），网页A可以往这个空白页写入完整的网页代码，本质上这个页面初始化没有网络请求，所以你看到了一个完整的网页但不知道确切地址。（此步看不懂请跳过）

假steam登录页 不显示地址链接 原理

假邮箱验证输入页 不显示地址链 原理

那么这个假的steam网页是怎么知道你密码对不对的呢？

钓鱼网站的后端，实际是连接到盗号者的集群电脑或集群虚拟机，这些电脑时刻都开着steam，等待钓鱼网站传来消息，一旦有消息，立马尝试登录Steam，密码错误则返回给钓鱼网站前台。密码对则进入到下一步等待前台邮箱验证码消息。

如下图所示，刚才我们在钓鱼网站前台上试了：第一次：错误密码，第二次：正确密码，自动化程序能够精准填写并返回结果

服务器上steam自动化演示

那扫码呢？扫码是不是就安全了？

不是的，我们回到一开始登录的时候，假如你打开手机steam扫描登录，登陆完也被完成了盗号，原因是这个二维码是实时同步服务器上steam的登录二维码

有同学就好奇了，这又是怎么做到的？请看下面的图，自动化脚本可以实时截取steam登录界面的二维码，再返回给假的Steam登录界面进行展示

服务器Steam实时截取登录二维码演示

所以你扫码登录，等同于在他电脑登录你的Steam。

假登录页实时显示最新码

现在你明白为什么扫码一样被盗了吗，而且更难的是，此种手段无法被安全软件检测到。

普通人（不了解计算机技术）想防御，那就是不要点链接

你说啥？你只扫客户端的码？这其实也不好说，请看下面演示图

盗号者挂了一个二维码程序，遮挡住了你电脑steam的真二维码，你扫码登录等同于在盗号者那里扫码登录。

至于说这个假二维码怎么来，请参考上面“服务器Steam实时截取登录二维码演示”，原理一致。

这个假二维码，电脑性能越高，越不容易看出来，性能越低，抖动越明显。

利用服务器steam的二维码遮挡住你电脑steam二维码

看了本篇，就肯定有人提出问题说他遇到的都是下面这种，要求授权，而不是登录。

首先，授权功能是steam开放的，任何有网站的人都可以跟V社申请接入steam登录功能。但是拿到的信息极其有限，连邮箱都不给。

其次，你只有浏览器登录了steam的情况才会看到该页面。你没登录时，是直接跳到登录页，和本文开头的演示完全一致。

所以，你应该意识到，如果该授权页面的域名是steam官方，那么此步骤不会盗号，而是盗号者在试图先取得你的信任（就好像现实的骗子总是会绕几圈才开始骗你），让你以为网站真的只是授权登录，在你后续的操作比如抽奖等中了CDK需要登录才能查获，那个时候的登录页面，你就得小心了。

省流总结

账户密码版本盗号流程：

进入钓鱼网站->在假登录页面输入账户密码->令牌/邮箱验证->完成盗号

扫码版本盗号流程：

进入钓鱼网站->在假登录页面扫码->令牌/邮箱验证->完成盗号

客户端的盗号方式（在上期的基础上补充）：

打开steam->二维码木马同步启动附加到steam->扫码登录->完成盗号

防御手段

1、学会分辨链接、官网

2、如果你无法分辨，那么别人发的链接都不要点。

3、不要停留在对比网页是否做的像不像的程度，骗子真想要你的号，能99.99%复刻steam功能

3、如果登录流程和你平常有差异，你应该谨慎

4、你看完了文本知道了客户端如果被附加二维码很难分辨，你应该在登录时，留意邮件/令牌提示的地址，因为盗号者多为大陆外ip，IP不对立马中止登录

安全措施

1、在危险的地方如无密码的公共wifi，网吧电脑使用steam后，务必操作踢出所有设备，不管任何盗号手段，只要你踢出，他的授权就会被取消

2、开通家庭组，在危险的地方只使用儿童号（禁止了市场交易等）

我是铁男，下期想看什么请在评论区留言

声明：文中的内容为模拟设置，仅用于演示、推断诈骗手段，避免他人上当受害

本人思想端正，从未参与盗号行为。