V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Pika666
V2EX  ›  程序员

给大家看一个我上了当的 Steam 诈骗网站

  Pika666 · 2021-11-28 01:29:14 +08:00 · 13454 次点击
这是一个创建于 1070 天前的主题,其中的信息可能已经有所发展或是发生改变。

https://5earenas.com/

有一说一这个网站做的很有创意,通过好友信息让你帮忙投票。我没注意就输入账号密码和令牌正常登陆了,还好有令牌,马上反应过来后修改了密码。建议大家一定要绑定手机令牌啊!

PS. 不知道在这种页面中登陆后的 cookie 不知道是否会被用来做坏事,目前 PUBG 、CSGO 、库存还没看到什么异常。

第 1 条附言  ·  2021-11-28 08:16:50 +08:00
这个钓鱼网站构造的 Steam 登录界面甚至还做了移动版的自适应。
第 2 条附言  ·  2021-11-28 08:20:25 +08:00
我有个大胆的猜想,既然做了套接字获取登录状态,那么在用户登录成功的时候除了 post 记录账号密码,是否可以对登录的 cookie 做跨域之类的保活,然后通过聊天系统自动向其好友发送钓鱼链接?这种认识的人或者很熟的网友发过来的链接要你帮忙投票很多人戒心会不会直接为零了,这样就会变成指数级增长的病毒式钓鱼。
第 3 条附言  ·  2021-11-28 15:54:14 +08:00

这个网站是真的有转发账号密码到官网进行验证的步骤,开启二步验证以后你输入正确账号密码以后钓鱼网站还会弹窗找你要令牌代码!不得不说这个钓鱼网站的制作者技术水平足够高。

另外感谢 @zhaidoudou123 85# 的提醒,如果在网站中输入了正确的账号密码,记得去重置一下自己的密码、交易API。

128 条回复    2021-12-05 01:45:54 +08:00
1  2  
yulon
    1
yulon  
   2021-11-28 01:34:20 +08:00
通过 Steam 登录到 XXX.com
您的 Steam 登录凭据不会被共享。
将与 XXX.com 共享唯一的数字标识符。由此 XXX.com 将可以识别您的 Steam 社区个人资料,并根据您的个人资料隐私设置访问您的 Steam 帐户信息。
XXX.com 可以访问您在 Steam 个人资料页面上设置为可公开查看的所有信息。
点击"登录"表示您同意共享此数据。

这是 Steam 连接登陆啊,你看登陆时的网址=。=
Pika666
    2
Pika666  
OP
   2021-11-28 01:35:35 +08:00
@yulon 啥意思?有可能中什么招吗?
yuzo555
    3
yuzo555  
   2021-11-28 01:35:39 +08:00   ❤️ 21
@yulon 你看看,你就中招了
AX5N
    4
AX5N  
   2021-11-28 01:40:17 +08:00   ❤️ 4
这个钓鱼做得还挺有意思的,点了登陆后会把账号密码 post 到 https://5earenas.com/auth.php
duzhor
    5
duzhor  
   2021-11-28 01:40:21 +08:00
这网站没问题,就像有些论坛你可以 qq 登录
duzhor
    6
duzhor  
   2021-11-28 01:41:01 +08:00
@AX5N 有这回事啊,还是我大意了
h404bi
    7
h404bi  
   2021-11-28 01:43:53 +08:00   ❤️ 8
厉害了,确实有创意。伪造了 openid 登录窗,做得有模有样的,连加载白屏的时间都做出来了😂。要不是 Edge 看到标题是 Google Chrome 差点就信了。
Dreax
    8
Dreax  
   2021-11-28 01:48:23 +08:00
@h404bi 说不定作者也逛 v 站 看到立马 fix 了
Greatshu
    9
Greatshu  
   2021-11-28 01:54:44 +08:00   ❤️ 1
之前我也遇到过这种,还好当时用的火狐,弹出一个 chrome 才意识到不对劲
stillsilly
    10
stillsilly  
   2021-11-28 01:55:48 +08:00
弹窗是假的……
Pika666
    11
Pika666  
OP
   2021-11-28 01:58:10 +08:00   ❤️ 1
我当时正在打官匹竞技,这个骗子加了好友准确的说出我上局的下饭操作,我戒心一下就放下了以为是之前一起玩的,我在死亡空挡切出去帮他投票,就没有注意太多细节,这种程度的钓鱼,真的有很多兄弟会上当。
ynyounuo
    12
ynyounuo  
   2021-11-28 02:08:05 +08:00   ❤️ 2
非 Windows 用户幸免于难
ryd994
    13
ryd994  
   2021-11-28 02:08:55 +08:00 via Android
@yulon 你说说,openid 的域名应该是什么?
openid 为什么要跳转到官方网站上再跳回第三方网站?
eason1874
    14
eason1874  
   2021-11-28 02:11:24 +08:00   ❤️ 2
@yulon #1 授权 tab 是假的,钓鱼网页内 CSS+DIV 模拟的

还别说,画了标题栏、网址栏,网址前面还有证书信息,像模像样,我第一眼也被骗了
SimonOne
    15
SimonOne  
   2021-11-28 02:13:28 +08:00
@yulon #1 这是个锤子,这整个网页包括地址栏都是仿的,那不是浏览器的地址栏。整个弹窗是 https://5earenas.com/上假造的,你不信拖一下那个窗口,就发现根本不是窗口。
liandi1990
    16
liandi1990  
   2021-11-28 02:21:31 +08:00 via iPhone   ❤️ 7
作为 Linux 上的 Firefox 用户,我看到这个“弹窗”后笑出了声
Perry
    17
Perry  
   2021-11-28 02:21:41 +08:00   ❤️ 2
Mac 用户一眼识破假窗口 🐶
ZRS
    18
ZRS  
   2021-11-28 02:52:43 +08:00
画的弹窗 一眼假
yin1999
    19
yin1999  
   2021-11-28 06:57:25 +08:00 via Android   ❤️ 2
Google Chrome 在点登陆时直接提示这是一个诈骗网站了
ziseyinzi
    20
ziseyinzi  
   2021-11-28 07:36:20 +08:00   ❤️ 3
firefox 打开,窗口标题已经变成 Mozilla Firefox 了,作者真的有可能上 v 站……不过它还是没能模仿我用的染山霞主题,各位如果想要防范类似网站,给浏览器设置一个主题或许是个不错的办法。
话说回来,某些网站使用这类登录窗的意义是什么,老老实实弹个新标签页不好吗,印象中正版 steam 是不使用登录窗的。
Zeonjl
    21
Zeonjl  
   2021-11-28 07:52:28 +08:00 via iPhone
提示账号名称与秘密不正确
xxb
    22
xxb  
   2021-11-28 08:12:34 +08:00 via iPhone
@yulon #1 也许一楼就是作者呢 🐶
Kininaru
    23
Kininaru  
   2021-11-28 08:15:03 +08:00
用着 Windows 11 ,那个弹窗不是圆角的,分辨率也不太对劲,就看出来了(而且我 Edge 怎么会弹 Chrome 的弹窗

嘿嘿楼主我在中文独立博客看到过你,没想到你也玩 v2ex
Pika666
    24
Pika666  
OP
   2021-11-28 08:20:06 +08:00
@Kininaru 哈哈哈,少侠好记性,我也记得你在我那篇被网警约谈的文章底下留言来着
Pika666
    25
Pika666  
OP
   2021-11-28 08:25:20 +08:00
@yin1999 你是装了什么杀毒软件或插件吗?为什么我的最新版 Google Chrome 和 360 浏览器没有这种提示
wonderfulcxm
    26
wonderfulcxm  
   2021-11-28 08:29:31 +08:00 via iPhone
有点意思哈
Pika666
    27
Pika666  
OP
   2021-11-28 08:29:41 +08:00
楼上很多同学说自己是 Linux 或者 MacOS 的打开网页不会被骗,但其实网站改进这点应该比较容易,对不同 UA 做出不同的框体外观。此外通过 Steam 好友系统发送的钓鱼链接,受众多半都是 Windows 用户,其实还是有些容易上当的。
Pika666
    28
Pika666  
OP
   2021-11-28 08:41:45 +08:00   ❤️ 1



不管怎么说先举报了,哈哈
amirobotics
    29
amirobotics  
   2021-11-28 08:45:43 +08:00
第一眼被骗。这钓鱼网页做到不错。
kidonng
    30
kidonng  
   2021-11-28 09:55:06 +08:00
这伪造的弹窗连个窗口阴影都没有,Windows 用户也骗不到 🐶
jedz
    31
jedz  
   2021-11-28 10:07:58 +08:00
哇这个假弹窗,不仔细看还真不好发现
Pika666
    32
Pika666  
OP
   2021-11-28 10:13:24 +08:00   ❤️ 1
@kidonng 你看我 11 楼的状态,设身处地的想一下,其实也不一定的。你现在点进去是带着防备心的,很容易发现异样。哈哈哈哈
failpass
    33
failpass  
   2021-11-28 10:14:43 +08:00
好家伙,真的服,以后通过 url 判断也不可靠了。
Zepp
    34
Zepp  
   2021-11-28 10:18:44 +08:00
笑死,骗子伪造的这个窗口在我的高分屏上糊得要命
shadows
    35
shadows  
   2021-11-28 10:29:59 +08:00
不得不说,这弹窗不小心的话真会被骗了
seakingii
    36
seakingii  
   2021-11-28 10:30:25 +08:00
这个骗子网站骗到密码后可以获取到什么利益?能偷游戏?不太了解...
Pika666
    37
Pika666  
OP
   2021-11-28 10:33:31 +08:00
@seakingii Steam 盗号已经是个产业链了,我有一个三无小号不知道怎么的密码泄露了,每天不定时都会收到一两封全世界各地登录请求的邮件验证码。大的不说,PUBG 和 CSGO 里那么多开挂的封了一茬又一茬,他们都是用的这种买来的黑号
seakingii
    38
seakingii  
   2021-11-28 10:33:58 +08:00
@Pika666 明白了
seakingii
    39
seakingii  
   2021-11-28 10:35:03 +08:00
像我这种只打单机体会不到这种需求...
Pika666
    40
Pika666  
OP
   2021-11-28 10:35:32 +08:00




看看这销量。。。
agdhole
    41
agdhole  
   2021-11-28 10:35:43 +08:00
我也被这弹窗骗了😂
骗子骗术升级的这么快
BarryPan
    42
BarryPan  
   2021-11-28 10:38:47 +08:00
我 mac 系统弹窗个 Windows ??????
Pika666
    43
Pika666  
OP
   2021-11-28 10:39:38 +08:00
@BarryPan check 27#
cmdOptionKana
    44
cmdOptionKana  
   2021-11-28 10:44:33 +08:00
看来以后这种授权要注意看证书了
Senorsen
    45
Senorsen  
   2021-11-28 10:50:57 +08:00
😂啊这,除了系统没适配( macOS )、高分屏有点糊外,不得不说,还是有点逼真的,一不注意就上当了哇

url 都模仿了,防不胜防
harwck
    46
harwck  
   2021-11-28 10:53:04 +08:00
这弹窗是给小学生看的吗。。。
caokeck
    47
caokeck  
   2021-11-28 11:11:36 +08:00
讲真第一眼真被骗了。以后要记得留心网页登陆弹窗了 233
shizukupr
    48
shizukupr  
   2021-11-28 11:13:47 +08:00
事实证明这玩意儿贯彻了“MacOS 玩啥游戏啊”这一基本原则,直接不适配 MacOS ,不行啊
longsays
    49
longsays  
   2021-11-28 11:14:18 +08:00 via Android
@yuzo555 还好还好,keepass 用户,密码我自己都不记得,自动填充的,网址不对不填充
SupperMary
    50
SupperMary  
   2021-11-28 11:20:21 +08:00
这个手段挺高明啊,通过 steam 登录,然后自己画一个框出来仿造登录 steam 的狂,甚至地址栏,签名啥的防的正常浏览器的,点进去一时间还没看出来啥有啥问题。
moonkiller
    51
moonkiller  
   2021-11-28 11:47:51 +08:00
@Perry 看来骗子有必要升级下,根据设备适配弹窗样式了
hs0000t
    52
hs0000t  
   2021-11-28 12:05:36 +08:00
1 高分屏适配,对于常见的 125% 150% 175% 200% 250%进行适配
2 系统适配,对 win7 win11 不同的窗口样式适配
3 浏览器适配,对 Firefox 浏览器,Edge 浏览器,360 浏览器等进行适配
iqoo
    53
iqoo  
   2021-11-28 12:05:38 +08:00
弹框好歹用 fixed 定位啊,滚动条一滚弹框也跟着滚下去了,瞬间暴露。
wdlth
    54
wdlth  
   2021-11-28 12:07:32 +08:00
这个一下就识破了,现在浏览器不显示 EV 的绿标了……
uni
    55
uni  
   2021-11-28 12:14:31 +08:00
确实有可能中招
点开之前已经知道是钓鱼网站了所以点开之后确实感到有一些异样,具体为:
edge 打开是 chrome ,我用的 dark mode 打开却是白色的,我用的 4k 屏肉眼可见右上角那个按钮跟我的浏览器的分辨率不太一样,一般登录的时候浏览器会自动帮我填充用户名密码但是这个窗口没有,这个窗口的质感跟浏览器新打开的窗口感觉不一样
如果不小心的话确实有可能会中招啊,先举报一波
skiy
    56
skiy  
   2021-11-28 12:14:32 +08:00
yannxia
    57
yannxia  
   2021-11-28 12:26:07 +08:00
@skiy 没拦截,那就是一个假的
tbxark
    58
tbxark  
   2021-11-28 12:26:51 +08:00   ❤️ 1
<img width="500" alt="WeChatd888ae1691313793050da79b4cb7ee0a" src="https://user-images.githubusercontent.com/9513891/143729558-0a548921-6480-4ab3-a1a9-9f73e8c35c74.png">

挺有创意的,就是在 Mac 下面看着有点傻,要是在识别一下操作系统和浏览器估计能骗不少人。
terence4444
    59
terence4444  
   2021-11-28 12:27:11 +08:00
@uni 现在弹窗已经可以根据浏览器变更标题了
Remember
    60
Remember  
   2021-11-28 12:35:43 +08:00
@tbxark 费那劲干嘛,linux ,mac 用户少的可怜,而且比 win steam 用户防范心高那么多,不值得花精力去搞,win steam 用户足够他吃饱了。
2i2Re2PLMaDnghL
    61
2i2Re2PLMaDnghL  
   2021-11-28 12:39:52 +08:00
刚遇上一个,也标记一下 challengermode[.]de[.]com
比较大的问题是语言是什么瘠薄,以及什么古老的 OV 绿锁。

最好用的是密码管理器
xxx027
    62
xxx027  
   2021-11-28 12:40:51 +08:00
steamcommunity.com 根本就不能直连,能打开就说明问题了
ysicing
    63
ysicing  
   2021-11-28 12:47:41 +08:00
那个语言只能是简体中文. 😆,我还在想我都是英文怎么突然识别出中文了
v2tudnew
    64
v2tudnew  
   2021-11-28 12:56:32 +08:00
钓鱼捞:挺好的,性感大佬在线教学。😂
AndyZhuAZ
    65
AndyZhuAZ  
   2021-11-28 13:11:52 +08:00
这个弹窗笑死我了,UI 都不一样,只能骗骗 win10 吧😂
Cooky
    66
Cooky  
   2021-11-28 13:13:58 +08:00
好家伙,得亏 https://steamcommunity.com/ 不开代理根本打不开,犹豫了看看,要不然真上当了
hafuhafu
    67
hafuhafu  
   2021-11-28 13:14:07 +08:00
弹出的那层在非白色主题下太明显了,而且还会随滚动条滚动,第一次弹出来的时候直接被遮挡了一些,不过骗大多数人应该够了,第一次见这种钓鱼网站。钓鱼的不会看着这个贴不断改善吧😂
AndyZhuAZ
    68
AndyZhuAZ  
   2021-11-28 13:14:36 +08:00
lucays
    69
lucays  
   2021-11-28 13:16:32 +08:00
说起来,我随便输的用户名和密码,还能弹用户名或密码不正确。。。他后台还有去验证的步骤。。
mazyi
    70
mazyi  
   2021-11-28 13:27:33 +08:00
像我这种一开窗口就想要最大化的,根本不会被骗
Vtwoguest
    71
Vtwoguest  
   2021-11-28 13:39:08 +08:00
@lucays 没有验证 他把这句话元素隐藏了(style=display) 点击登录他就会显现
xarthur
    72
xarthur  
   2021-11-28 13:39:49 +08:00
hytxk
    73
hytxk  
   2021-11-28 13:40:14 +08:00
@Pika666 我是只要没有谷歌自动登录,一概视为假网站
xylxAdai
    74
xylxAdai  
   2021-11-28 14:06:09 +08:00
还好我从来不会记账号密码,google 不帮我自动登录的都不管。
happylty
    75
happylty  
   2021-11-28 14:12:36 +08:00
被 spam404 规则给拦截了。。。打开白屏
cweijan
    76
cweijan  
   2021-11-28 14:20:54 +08:00
这个网页弹窗真强, 你不说我还真以为是真的.
cweijan
    77
cweijan  
   2021-11-28 14:22:30 +08:00
@Pika666 举报没啥用, 我举报了好几个盗卖资源的, 都好好的.
yolee599
    78
yolee599  
   2021-11-28 14:24:01 +08:00 via Android
弹窗已经可以移动了,但是点击最大化窗口竟然显示了。但不是新开标签页还是一眼假
bipy
    79
bipy  
   2021-11-28 14:24:08 +08:00
有意思,没看评论还真没发现弹窗是假的
huZhao
    80
huZhao  
   2021-11-28 14:25:14 +08:00
这种盗号手法,已经烂大街了吧,以前有人偷盗 QQ 账号密码,也是这个逻辑。
huZhao
    81
huZhao  
   2021-11-28 14:27:04 +08:00
2010 年,我 qq 就被这个手法给盗走了,当时 qq 绑定的地下城的游戏
zhaidoudou123
    82
zhaidoudou123  
   2021-11-28 14:29:08 +08:00
好家伙,这做了个弹窗,还能识别我的 Firefox ,只可惜有的资源没加载出来是 x😂
技术力还挺高!
zwgf
    83
zwgf  
   2021-11-28 14:30:39 +08:00
估计作者会 fix 一下,判断一下用户系统和浏览器,然后显示不同的弹出窗口界面。
zhaidoudou123
    84
zhaidoudou123  
   2021-11-28 14:33:48 +08:00
最好的办法就是 steam 里收到的任何链接都当诈骗,99%不会错
zhaidoudou123
    85
zhaidoudou123  
   2021-11-28 14:36:17 +08:00   ❤️ 1
另外楼主,去看看 api ,人家不一定是为了盗号,可能是盯上了你的饰品,要是 api 被人弄走了,下次从 Buff 卖东西的时候就有可能被骗
xing7673
    86
xing7673  
   2021-11-28 14:37:31 +08:00
牛逼哈哈哈哈
oOoOoOoOoOo
    87
oOoOoOoOoOo  
   2021-11-28 14:45:44 +08:00 via Android
我想要拥有这个作者的 后端 域名 服务器 PC Laptop Phone iPad
jinliming2
    88
jinliming2  
   2021-11-28 14:49:29 +08:00   ❤️ 1
这弹窗……
win 11 没有圆角,哈哈哈哈。
最小化、最大化、关闭三个按钮的功能是 [一样的] ,哈哈哈哈。
窗口跟着页面滚动,哈哈哈哈。
窗口一拖就能选中,哈哈哈哈。
这地址栏好方啊……一点都不 Chrome !
选择语言里面……居然没有英语!!!哈哈哈哈哈,是懒得翻译吗?其他语言也切换不了。

加载白屏是因为这是个 iframe ,点击右边“将与 XXX 共享唯一的数字标识符”的链接可以开始套娃,哈哈哈哈。
hm20062006ok
    89
hm20062006ok  
   2021-11-28 14:54:58 +08:00
我咋打不开
cfanmark
    90
cfanmark  
   2021-11-28 15:13:48 +08:00
牛逼, 页中页伪装成弹窗
siteshen
    91
siteshen  
   2021-11-28 15:34:39 +08:00
一个小建议,分享钓鱼网站时,多强调几次是「钓鱼网站」。并适时(比如后续的附言中?)说明其中的原理,毕竟能上 V2EX 的钓鱼站都身怀绝技(看此贴留言中,有多少人「咋一看」中招的)。
zlowly
    92
zlowly  
   2021-11-28 15:40:11 +08:00
这仿真度,以后见到弹窗至少要在弹出标题栏上点一下右键或者拖动看看能否跑出页面外才能确定了。
Pika666
    93
Pika666  
OP
   2021-11-28 15:54:37 +08:00
@Vtwoguest 没有,他是真的有转发 post 账号密码去官网验证的步骤,因为当时我真的登录了,还出现了找我要令牌验证码的弹窗,我输入以后提示了登录成功,然后网站就会直接用一个网络错误的遮罩隐藏所有内容,除非我清除 cookie 或者打开无痕模式。
villivateur
    94
villivateur  
   2021-11-28 16:17:03 +08:00
这个网站连 FireFox 和 Chrome 都能做适配,也太强了
ffgrinder
    95
ffgrinder  
   2021-11-28 16:17:10 +08:00
至少之前我都是看 chrome 的这个证书的

直到我换了 Mac + Firefox

不过这个真的是一个很好的教材,感谢楼主提醒.
ffgrinder
    96
ffgrinder  
   2021-11-28 16:17:46 +08:00   ❤️ 1
@livid 这种帖子是不是可以给个权重,毕竟感觉这种骗术还是比较新颖的.
wohccdaa
    97
wohccdaa  
   2021-11-28 16:19:17 +08:00 via iPhone
钓鱼穷处不见
villivateur
    98
villivateur  
   2021-11-28 16:26:28 +08:00
这是我见过的做的最认真的诈骗网站,献上我由衷的敬意 /doge
HaneRo
    99
HaneRo  
   2021-11-28 16:27:40 +08:00
这窗口真像啊,如果不是非全屏我就信了,分辨率不足的情况下网页出现了滚动条
jackmod
    100
jackmod  
   2021-11-28 16:30:14 +08:00
1  2  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2806 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 33ms · UTC 13:27 · PVG 21:27 · LAX 06:27 · JFK 09:27
Developed with CodeLauncher
♥ Do have faith in what you're doing.