解析Steam“爲戰隊投票送遊戲”騙局的盜號原理（掃碼也被盜）

“爲我戰隊投票”等騙局最後給你的都是網頁鏈接，讓你進去登錄，這類全部歸到“Steam網頁盜號”。本文分析會從前臺（釣魚網站）、後臺（服務器）兩部分展開。

首先，一個漂亮頭像的，不對，一個狡猾的妹妹通過steam戰局內加了你，

你們打過幾次遊戲後，你覺得她是一個正常玩家，有一天她參加了一個比賽，希望你幫她投一票

你就想，反正動動手指的事就能幫到人，何樂而不爲，然後點了鏈接，進入了一個看着很不錯的網站，然後你半信半疑的進行了投票

因爲整個流程動圖太大小黑盒不給傳，我分2個gif，想看完整gif的點鏈接

img.cdn1.vip/i/69348cd59897f_1765051605.webp

我們先看盜號流程：

第一次測試登錄，發現可以被識別（上下兩個動態圖需要連起來看

第二次登錄正確密碼也可以識別

再來看一遍附帶解說的動態圖

完整gif見這裏：

https://img.cdn1.vip/i/6934919bdb148_1765052827.webp

解說1（上下動態圖需要來連起來一起看

解說2

整個盜號過程就是：投票->steam登錄->郵箱驗證碼->完成盜號

我們詳細來分析，下面是釣魚網站，這些東西都只是爲了增加信任度

當你點擊通過steam登錄時，來到下圖這個登錄頁，這是高仿的，並非steam頁面。

那爲什麼這個頁面標題欄不會顯示steam域名或者是假steam網站域名呢。

這個說起來可能要算瀏覽器的漏洞，一個網頁A可以請求打開空白頁（即你看到的地址爲about:blank），網頁A可以往這個空白頁寫入完整的網頁代碼，本質上這個頁面初始化沒有網絡請求，所以你看到了一個完整的網頁但不知道確切地址。（此步看不懂請跳過）

假steam登錄頁 不顯示地址鏈接 原理

假郵箱驗證輸入頁 不顯示地址鏈 原理

那麼這個假的steam網頁是怎麼知道你密碼對不對的呢？

釣魚網站的後端，實際是連接到盜號者的集羣電腦或集羣虛擬機，這些電腦時刻都開着steam，等待釣魚網站傳來消息，一旦有消息，立馬嘗試登錄Steam，密碼錯誤則返回給釣魚網站前臺。密碼對則進入到下一步等待前臺郵箱驗證碼消息。

如下圖所示，剛纔我們在釣魚網站前臺上試了：第一次：錯誤密碼，第二次：正確密碼，自動化程序能夠精準填寫並返回結果

服務器上steam自動化演示

那掃碼呢？掃碼是不是就安全了？

不是的，我們回到一開始登錄的時候，假如你打開手機steam掃描登錄，登陸完也被完成了盜號，原因是這個二維碼是實時同步服務器上steam的登錄二維碼

有同學就好奇了，這又是怎麼做到的？請看下面的圖，自動化腳本可以實時截取steam登錄界面的二維碼，再返回給假的Steam登錄界面進行展示

服務器Steam實時截取登錄二維碼演示

所以你掃碼登錄，等同於在他電腦登錄你的Steam。

假登錄頁實時顯示最新碼

現在你明白爲什麼掃碼一樣被盜了嗎，而且更難的是，此種手段無法被安全軟件檢測到。

普通人（不瞭解計算機技術）想防禦，那就是不要點鏈接

你說啥？你只掃客戶端的碼？這其實也不好說，請看下面演示圖

盜號者掛了一個二維碼程序，遮擋住了你電腦steam的真二維碼，你掃碼登錄等同於在盜號者那裏掃碼登錄。

至於說這個假二維碼怎麼來，請參考上面“服務器Steam實時截取登錄二維碼演示”，原理一致。

這個假二維碼，電腦性能越高，越不容易看出來，性能越低，抖動越明顯。

利用服務器steam的二維碼遮擋住你電腦steam二維碼

看了本篇，就肯定有人提出問題說他遇到的都是下面這種，要求授權，而不是登錄。

首先，授權功能是steam開放的，任何有網站的人都可以跟V社申請接入steam登錄功能。但是拿到的信息極其有限，連郵箱都不給。

其次，你只有瀏覽器登錄了steam的情況纔會看到該頁面。你沒登錄時，是直接跳到登錄頁，和本文開頭的演示完全一致。

所以，你應該意識到，如果該授權頁面的域名是steam官方，那麼此步驟不會盜號，而是盜號者在試圖先取得你的信任（就好像現實的騙子總是會繞幾圈纔開始騙你），讓你以爲網站真的只是授權登錄，在你後續的操作比如抽獎等中了CDK需要登錄才能查獲，那個時候的登錄頁面，你就得小心了。

省流總結

賬戶密碼版本盜號流程：

進入釣魚網站->在假登錄頁面輸入賬戶密碼->令牌/郵箱驗證->完成盜號

掃碼版本盜號流程：

進入釣魚網站->在假登錄頁面掃碼->令牌/郵箱驗證->完成盜號

客戶端的盜號方式（在上期的基礎上補充）：

打開steam->二維碼木馬同步啓動附加到steam->掃碼登錄->完成盜號

防禦手段

1、學會分辨鏈接、官網

2、如果你無法分辨，那麼別人發的鏈接都不要點。

3、不要停留在對比網頁是否做的像不像的程度，騙子真想要你的號，能99.99%復刻steam功能

3、如果登錄流程和你平常有差異，你應該謹慎

4、你看完了文本知道了客戶端如果被附加二維碼很難分辨，你應該在登錄時，留意郵件/令牌提示的地址，因爲盜號者多爲大陸外ip，IP不對立馬中止登錄

安全措施

1、在危險的地方如無密碼的公共wifi，網吧電腦使用steam後，務必操作踢出所有設備，不管任何盜號手段，只要你踢出，他的授權就會被取消

2、開通家庭組，在危險的地方只使用兒童號（禁止了市場交易等）

我是鐵男，下期想看什麼請在評論區留言

聲明：文中的內容爲模擬設置，僅用於演示、推斷詐騙手段，避免他人上當受害

本人思想端正，從未參與盜號行爲。