警惕 steam 钓鱼网站

首先希望大家不要在我发的帖子中的网站中输入steam账号密码。

 

前两天一个名叫回不去的dota时光的steam账号加了我为好友,今天突然发了消息给我,说要回馈dota2老玩家赠送礼品,并且给了这样一个网站:http://item-for-hours.com

画面做功非常精美,根本不会想到是钓鱼网站。

1

点击签到后会跳转到steam的外部网站登录界面。

2

这个就是骗人的界面了。

首先这个界面的网址是 http://item-for-hours.com/steam/login/logins.php  而 steam 为其他网站提供的登录 API 网址一般是https://steamcommunity.com/openid/login?openid.ns=xxxxxxxx。

其次你不管输入什么用户名或者密码正不正确都会跳出行动验证的提示框:

3

这和真正的 steam 的是完全不同的。

因为本人不是特别懂 HTML, 学长告诉我可以在控制台中监控网页的数据流向,发现了最大的猫腻。

再点击提交验证码后,正真的steam网站只会向两个地址发送请求,这两个地址都是 steam 登录用的地址。

5

而钓鱼网站是这样的:

6

这些请求中,有三类网址,第一类是把请求发回这个网站,第二类是google的一些,第三类是https://steamcommunity-a.akamaihd.net/public/shared/css/buttons.css的,解释一下第三个并不是向steam请求登录,而是直接引用steam的图片使钓鱼网站更加逼真。

综上所述,这个网站也许不是特别安全。

在下才疏学浅,还是希望有大神出来指正,以免误伤。

世上没有免费的馅饼,希望大家要谨慎。

One thought on “警惕 steam 钓鱼网站

  1. 作为一个内测就开始玩D2 的人, 表示D2 从未搞过类似的活动, 一看就是假的ORZ,..... 还有, 可不可以把你的标签云搞得好看点ORZ

发表评论

电子邮件地址不会被公开。 必填项已用*标注