Steam社区里利用高仿网站钓鱼的骗术

又是话题老毒瘤PUBG，虽然这个游戏我卸了很久了，但是不久前本人的一个朋友已经中招导致Steam账号被盗，早就听说过PUBG猖獗的盗号现象，比如网吧Steam客户端被动手脚之类的。不过这次居然是利用高仿网站进行的，花样确实层出不穷。

Steam用户都明白，账号被盗后果还是比较严重的，不仅PUBG号难逃一劫，或是导致vac封禁，更严重的是如果账户上的财产比较多，那就危险了。该朋友的Steam账号财产较多，被盗后我也是第一时间在好友列表里监控该账号的动向，幸运的是，盗号似乎是由机器完成的，盗号者并没有在短时间内登录该账号，也没有机会亲自查看该账号拥有的库存，好在Steam的申诉够快，该账号在几个小时内就得以找回。

中招过程和找回手段

首先如果Steam用户浏览社区页面（特别是PUBG社区页面），就会发现一个由“PUBG社区管理”发布的页面，该页面往往是维护补偿等等赠送行为，勾引玩家前去查看。

细心的玩家也许已经看出，该网址并不正常，打开后是一个高仿的中文版PUBG网站页面。盗号者伪造了很多这种类似的网址，几天就换一次。点击领取后，又出来一个Steam账号的登录页面，和Steam的官网长得一模一样。

当Steam用户输入自己的账户密码后，又会要求用户输入令牌密码和手机验证码，据网上的信息反映，密码对错与否都会进入下一步，盗号者最想要的正是这两个关键的凭据，它使得盗号者拥有取得账户控制权限的能力。

如果用户给出了这两个凭据，则账户邮箱立刻被替换，手机、令牌瞬间解绑，用户失去所有权限，密码也不攻自破了。这一切应该都是机器自动完成的。

用户的应对手段只有申诉和锁定账户。Steam账户在更换邮箱后，会自动向旧邮箱发送邮箱被更换的信息，被盗的用户可以在其中找到锁定账户的按钮。也就是说，Steam账户是不能随便锁定的，只有通过被更改邮箱的那个按钮才能进入锁定页面。

而账户申诉则要求提供正常的初始邮箱和一些交易记录凭证，因为很多用户的邮箱都是QQ邮箱，交易记录是盗号者基本无法得到的，QQ号的所有权也最终握在用户手里，也就是说，只要用户铁了心想找回Steam账号，是比较容易找回的。所以盗号者的战术就是实现短期占有并尽可能拖延找回时间，以完成账号交易和财产交易，最终给用户留下一个烂摊子。其中最重要的就是攻破用户的邮箱，这也是最严重的情况，一旦盗号者能够短时间登录邮箱，第一操作就是彻底删除用户的那些邮箱更改提醒信件，使得账户无法被锁定，也给申诉造成了困难。

在众多案例中我一直很好奇邮箱是怎么被爆破的，我猜测有两种可能：第一种是撞库，也就是利用很多人将QQ密码和Steam密码相同的缺陷，对用户的qq号进行撞库，一旦正确就可以短时间占据qq邮箱；第二种可能就是利用网吧环境，让用户登录做过手脚的qq账户以获得qq密码。关于如何得到qq号其实很简单，因为Steam页面的个人账户里直接可以看到绑定邮箱的全文，自然也就暴露了qq号。我认为这是Steam个人账户的一个缺陷，给盗号者提供了有用的信息。

可见，如果连邮箱的控制权都没了，危险就真的大了。这位朋友也是因为邮箱未被攻破，申诉才得以快速进行。所以建议Steam的用户不要使用qq邮箱作为绑定邮箱，qq邮箱其实并不安全。

小号成群

还有个问题，盗号的是如何做到将自己的假链接至于Steam社区顶端的？从下图可以看出，盗号者拥有海量Steam账号，估计Steam社区的热度计算方式很简单，并没有怎么考虑机器人的威胁。盗号者使用成千上万的小号对假链接页面进行“顶帖”，强行让它出现在PUBG社区首页，甚至是整个steam社区的首页（的确有这种现象）。

而作为发帖人的这个“PUBG社区管理”，也是利用了Steam账号本身改名毫无限制的特点，只要盗号者需要，他手下的任何一个小号都能立刻变成“XXX社区管理”。Steam社区凭空冒出的中文管理，现在想想感觉挺智障的，不过一开始我和朋友都没有意识到这一点，确实能骗到人呢。

查看某个“PUBG社区管理”的曾用名，该账号已经有红字，最原始的id是韩文，意思似乎是“深海”。推测该账号曾经是有过正常主人的PUBG账号，从改名“2sa”开始，已经变成了盗号者手中的“肉鸡号”。