V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Pika666
V2EX  ›  程序员

给大家看一个我上了当的 Steam 诈骗网站

  Pika666 · 2021-11-28 01:29:14 +08:00 · 13547 次点击
这是一个创建于 1097 天前的主题,其中的信息可能已经有所发展或是发生改变。

https://5earenas.com/

有一说一这个网站做的很有创意,通过好友信息让你帮忙投票。我没注意就输入账号密码和令牌正常登陆了,还好有令牌,马上反应过来后修改了密码。建议大家一定要绑定手机令牌啊!

PS. 不知道在这种页面中登陆后的 cookie 不知道是否会被用来做坏事,目前 PUBG 、CSGO 、库存还没看到什么异常。

第 1 条附言  ·  2021-11-28 08:16:50 +08:00
这个钓鱼网站构造的 Steam 登录界面甚至还做了移动版的自适应。
第 2 条附言  ·  2021-11-28 08:20:25 +08:00
我有个大胆的猜想,既然做了套接字获取登录状态,那么在用户登录成功的时候除了 post 记录账号密码,是否可以对登录的 cookie 做跨域之类的保活,然后通过聊天系统自动向其好友发送钓鱼链接?这种认识的人或者很熟的网友发过来的链接要你帮忙投票很多人戒心会不会直接为零了,这样就会变成指数级增长的病毒式钓鱼。
第 3 条附言  ·  2021-11-28 15:54:14 +08:00

这个网站是真的有转发账号密码到官网进行验证的步骤,开启二步验证以后你输入正确账号密码以后钓鱼网站还会弹窗找你要令牌代码!不得不说这个钓鱼网站的制作者技术水平足够高。

另外感谢 @zhaidoudou123 85# 的提醒,如果在网站中输入了正确的账号密码,记得去重置一下自己的密码、交易API。

128 条回复    2021-12-05 01:45:54 +08:00
1  2  
HaneRo
    101
HaneRo  
   2021-11-28 16:30:19 +08:00
另外这网站是不是专门骗国人的?我科学之后打不开它
kaiki
    102
kaiki  
   2021-11-28 16:33:26 +08:00
@HaneRo 是的,语言只能设置中文
mxalbert1996
    103
mxalbert1996  
   2021-11-28 16:40:03 +08:00 via Android
不说 Chrome 直接提醒我这是诈骗网站,就算进去了并且没注意到域名不是 Steam ,Chrome 不给我自动填充也足以让我意识到不对劲了
shiny
    104
shiny  
   2021-11-28 16:43:41 +08:00
mac 用户看到了模拟窗口笑出了声
这么精致的钓鱼网站也是第一次见
Wataru
    105
Wataru  
   2021-11-28 16:46:47 +08:00
iOS Safari 给我弹窗这个,笑死,不过就凭这个能让太多人上当了
iAIR
    106
iAIR  
   2021-11-28 17:36:21 +08:00   ❤️ 1
终于有人做了我长期以来一直想做的这种钓鱼,哈哈哈。
打从看到“第三方登录”的第一天起,我就疑惑我如何确保那个登录框真的是可信第三方网站,而不是当前网站自绘的。你别说 Steam 了,像银行卡 CVV 信息照理来说商户也不能存储的,然而实际有些商户就是会存(比如几年前曝出来的 Ctrip )。
iAIR
    107
iAIR  
   2021-11-28 17:40:52 +08:00
这个钓鱼网站,拯救我的是 1280x720 的低分辨率(试图拖动假窗会导致窗口飞出画面被阶段)
mytsing520
    108
mytsing520  
   2021-11-28 19:21:10 +08:00
看来已经被 abuse 了
leafre
    109
leafre  
   2021-11-28 20:19:55 +08:00
学会了,这招雀食不错
x86
    110
x86  
   2021-11-28 20:25:09 +08:00
有一说一做的蛮好看的
vanton
    111
vanton  
   2021-11-28 22:36:26 +08:00
在我电脑上分辨率就不对。。。
Youkochan0v0
    112
Youkochan0v0  
   2021-11-28 23:05:46 +08:00
我直接打不开,点掉 Cloudflare 的 warning 后进去直接白屏
Pika666
    113
Pika666  
OP
   2021-11-28 23:38:05 +08:00
@Youkochan0v0 你来晚了,哈哈哈哈
gggccc44
    114
gggccc44  
   2021-11-29 02:03:10 +08:00
点了地址我的浏览器是 Cloudflare 提示钓鱼,英文提示
ipcjs
    115
ipcjs  
   2021-11-29 04:18:10 +08:00
谁把它举报了,我都没看到呢。。。
站长能不能换个域名让我体验下😅
iBugOne
    116
iBugOne  
   2021-11-29 04:39:35 +08:00
@ipcjs #115 有人在 #61 楼给出了一个新链接 challengermode de com (空格换成点)我看了一下和被 Cloudflare 屏蔽的网站一模一样

[警告] 这个链接还是钓鱼网站,谨慎访问
dingwen07
    117
dingwen07  
   2021-11-29 07:09:24 +08:00
snsn
    118
snsn  
   2021-11-29 07:27:46 +08:00
egde 打开直接提示是骗子网站
SSang
    119
SSang  
   2021-11-29 09:11:09 +08:00   ❤️ 2
> 我有个大胆的猜想,既然做了套接字获取登录状态,那么在用户登录成功的时候除了 post 记录账号密码,是否可以对登录的 cookie 做跨域之类的保活,然后通过聊天系统自动向其好友发送钓鱼链接?

steam 的第三方认证出来的 cookie 一般来说是禁止跨域调用的,这种大网站对 csrf 攻击的防御能力不太需要担心。你泄漏的大概率只有账号和密码。

> 这个网站是真的有转发账号密码到官网进行验证的步骤,开启二步验证以后你输入正确账号密码以后钓鱼网站还会弹窗找你要令牌代码!

这是 steam 的第三方认证接口,是公开的,类似于 oauth ,任何人都能调用,他会给第三方提供有限的你的权限,一般来说只提供访问身份信息的权限,但跳转到官方认证的页面一定要注意这个网站请求了你哪些权限。
cco
    120
cco  
   2021-11-29 09:13:56 +08:00
单反能再多看一眼网站也不会被骗,单反去贴吧搜被骗贴也不会被骗。
当真是 xx 太多,骗子不够用了?
Leonard
    121
Leonard  
   2021-11-29 09:18:45 +08:00
macOS 一眼识破。。
这是只骗 Windows 用户么。。
ww940521
    122
ww940521  
   2021-11-29 09:38:07 +08:00
@Leonard 有几个用 Mac 打游戏的?
jonahtan
    123
jonahtan  
   2021-11-29 09:40:30 +08:00
Pika666
    124
Pika666  
OP
   2021-11-29 09:47:13 +08:00 via Android
@SSang 非常非常非常非常感谢大佬的解惑
unclemcz
    125
unclemcz  
   2021-11-29 11:10:12 +08:00   ❤️ 1
和头条伪造 qqzone 登录框有异曲同工之妙

https://i.loli.net/2021/11/29/p7ZnoMem9HwPya6.jpg
cenbiq
    126
cenbiq  
   2021-11-29 16:56:46 +08:00
卧槽新玩法啊,windows 窗体都给模仿出来了,我见过最牛逼的盗号网站是模仿了 QQ 的授权网站,然后域名藏在 ...tencent.com/... 下,我当场直接惊呆了,不知道怎么做到的。
大多盗号网站还会假装帮你“认证”一下,提交第一次账号密码时大概率会出现登陆失败让你怀疑自己输错了重来,顺便顺走你两次的输入内容,同时还能防止有的人真的输错了😓
zhangpeng2k
    127
zhangpeng2k  
   2021-11-29 20:12:57 +08:00   ❤️ 1
朋友之前在 Steam 送了我一个大概价值一千块的 CSGO 饰品,我持有这个饰品期间就遇到了无数的机器人账号主动添加我...
骗术还有好多种,贴主的这种算是比较常见的。可能因为成功率比较高吧?大多数机器人加到我之后都会跟我说:‘我们在和鬼佬打比赛,可以帮我投一票吗?’ 又发一条钓鱼链接过来。这样,算是这几年遇到的拟真度最高的钓鱼网站了
flynaj
    128
flynaj  
   2021-12-05 01:45:54 +08:00 via Android
@Pika666 这个服务是由 https://safebrowsing.google.com/ 提供的,能连上就会提示。
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1174 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 25ms · UTC 18:50 · PVG 02:50 · LAX 10:50 · JFK 13:50
Developed with CodeLauncher
♥ Do have faith in what you're doing.