这是一个创建于 1070 天前的主题,其中的信息可能已经有所发展或是发生改变。
有一说一这个网站做的很有创意,通过好友信息让你帮忙投票。我没注意就输入账号密码和令牌正常登陆了,还好有令牌,马上反应过来后修改了密码。建议大家一定要绑定手机令牌啊!
PS. 不知道在这种页面中登陆后的 cookie 不知道是否会被用来做坏事,目前 PUBG 、CSGO 、库存还没看到什么异常。
第 1 条附言 · 2021-11-28 08:16:50 +08:00
这个钓鱼网站构造的 Steam 登录界面甚至还做了移动版的自适应。
第 2 条附言 · 2021-11-28 08:20:25 +08:00
我有个大胆的猜想,既然做了套接字获取登录状态,那么在用户登录成功的时候除了 post 记录账号密码,是否可以对登录的 cookie 做跨域之类的保活,然后通过聊天系统自动向其好友发送钓鱼链接?这种认识的人或者很熟的网友发过来的链接要你帮忙投票很多人戒心会不会直接为零了,这样就会变成指数级增长的病毒式钓鱼。
第 3 条附言 · 2021-11-28 15:54:14 +08:00
这个网站是真的有转发账号密码到官网进行验证的步骤,开启二步验证以后你输入正确账号密码以后钓鱼网站还会弹窗找你要令牌代码!不得不说这个钓鱼网站的制作者技术水平足够高。
另外感谢 @zhaidoudou123 85# 的提醒,如果在网站中输入了正确的账号密码,记得去重置一下自己的密码、交易API。
 |
1
yulon 2021-11-28 01:34:20 +08:00
|
 |
4
AX5N 2021-11-28 01:40:17 +08:00  4
这个钓鱼做得还挺有意思的,点了登陆后会把账号密码 post 到 https://5earenas.com/auth.php
|
 |
5
duzhor 2021-11-28 01:40:21 +08:00
这网站没问题,就像有些论坛你可以 qq 登录
|
 |
7
h404bi 2021-11-28 01:43:53 +08:00 8
厉害了,确实有创意。伪造了 openid 登录窗,做得有模有样的,连加载白屏的时间都做出来了😂。要不是 Edge 看到标题是 Google Chrome 差点就信了。
|
 |
9
Greatshu 2021-11-28 01:54:44 +08:00 1
之前我也遇到过这种,还好当时用的火狐,弹出一个 chrome 才意识到不对劲
|
 |
10
stillsilly 2021-11-28 01:55:48 +08:00
弹窗是假的……
|
 |
11
Pika666 OP 1
我当时正在打官匹竞技,这个骗子加了好友准确的说出我上局的下饭操作,我戒心一下就放下了以为是之前一起玩的,我在死亡空挡切出去帮他投票,就没有注意太多细节,这种程度的钓鱼,真的有很多兄弟会上当。
|
 |
12
ynyounuo 2021-11-28 02:08:05 +08:00 2
非 Windows 用户幸免于难
|
 |
13
ryd994 2021-11-28 02:08:55 +08:00 via Android
@yulon 你说说,openid 的域名应该是什么?
openid 为什么要跳转到官方网站上再跳回第三方网站? |
 |
14
eason1874 2021-11-28 02:11:24 +08:00 2
|
 |
15
SimonOne 2021-11-28 02:13:28 +08:00
@yulon #1 这是个锤子,这整个网页包括地址栏都是仿的,那不是浏览器的地址栏。整个弹窗是 https://5earenas.com/上假造的,你不信拖一下那个窗口,就发现根本不是窗口。
|
 |
16
liandi1990 2021-11-28 02:21:31 +08:00 via iPhone 7
作为 Linux 上的 Firefox 用户,我看到这个“弹窗”后笑出了声
|
 |
17
Perry 2021-11-28 02:21:41 +08:00 2
Mac 用户一眼识破假窗口 🐶
|
 |
18
ZRS 2021-11-28 02:52:43 +08:00
画的弹窗 一眼假
|
 |
19
yin1999 2021-11-28 06:57:25 +08:00 via Android 2
Google Chrome 在点登陆时直接提示这是一个诈骗网站了
|
 |
20
ziseyinzi 2021-11-28 07:36:20 +08:00 3
firefox 打开,窗口标题已经变成 Mozilla Firefox 了,作者真的有可能上 v 站……不过它还是没能模仿我用的染山霞主题,各位如果想要防范类似网站,给浏览器设置一个主题或许是个不错的办法。
话说回来,某些网站使用这类登录窗的意义是什么,老老实实弹个新标签页不好吗,印象中正版 steam 是不使用登录窗的。 |
 |
21
Zeonjl 2021-11-28 07:52:28 +08:00 via iPhone
提示账号名称与秘密不正确
|
 |
23
Kininaru 2021-11-28 08:15:03 +08:00
用着 Windows 11 ,那个弹窗不是圆角的,分辨率也不太对劲,就看出来了(而且我 Edge 怎么会弹 Chrome 的弹窗
嘿嘿楼主我在中文独立博客看到过你,没想到你也玩 v2ex |
|
25
Pika666 OP @yin1999 你是装了什么杀毒软件或插件吗?为什么我的最新版 Google Chrome 和 360 浏览器没有这种提示
|
 |
26
wonderfulcxm 2021-11-28 08:29:31 +08:00 via iPhone
有点意思哈
|
|
27
Pika666 OP 楼上很多同学说自己是 Linux 或者 MacOS 的打开网页不会被骗,但其实网站改进这点应该比较容易,对不同 UA 做出不同的框体外观。此外通过 Steam 好友系统发送的钓鱼链接,受众多半都是 Windows 用户,其实还是有些容易上当的。
|
|
28
Pika666 OP 1
  不管怎么说先举报了,哈哈 |
 |
29
amirobotics 2021-11-28 08:45:43 +08:00
第一眼被骗。这钓鱼网页做到不错。
|
 |
30
kidonng 2021-11-28 09:55:06 +08:00
这伪造的弹窗连个窗口阴影都没有,Windows 用户也骗不到 🐶
|
 |
31
jedz 2021-11-28 10:07:58 +08:00
哇这个假弹窗,不仔细看还真不好发现
|
|
32
Pika666 OP 1
@kidonng 你看我 11 楼的状态,设身处地的想一下,其实也不一定的。你现在点进去是带着防备心的,很容易发现异样。哈哈哈哈
|
 |
33
failpass 2021-11-28 10:14:43 +08:00
好家伙,真的服,以后通过 url 判断也不可靠了。
|
 |
34
Zepp 2021-11-28 10:18:44 +08:00
笑死,骗子伪造的这个窗口在我的高分屏上糊得要命
|
 |
35
shadows 2021-11-28 10:29:59 +08:00
不得不说,这弹窗不小心的话真会被骗了
|
 |
36
seakingii 2021-11-28 10:30:25 +08:00
这个骗子网站骗到密码后可以获取到什么利益?能偷游戏?不太了解...
|
|
37
Pika666 OP @seakingii Steam 盗号已经是个产业链了,我有一个三无小号不知道怎么的密码泄露了,每天不定时都会收到一两封全世界各地登录请求的邮件验证码。大的不说,PUBG 和 CSGO 里那么多开挂的封了一茬又一茬,他们都是用的这种买来的黑号
|
|
39
seakingii 2021-11-28 10:35:03 +08:00
像我这种只打单机体会不到这种需求...
|
|
40
Pika666 OP    看看这销量。。。 |
 |
41
agdhole 2021-11-28 10:35:43 +08:00
我也被这弹窗骗了😂
骗子骗术升级的这么快 |
 |
42
BarryPan 2021-11-28 10:38:47 +08:00
我 mac 系统弹窗个 Windows ??????
|
 |
44
cmdOptionKana 2021-11-28 10:44:33 +08:00
看来以后这种授权要注意看证书了
|
 |
45
Senorsen 2021-11-28 10:50:57 +08:00
😂啊这,除了系统没适配( macOS )、高分屏有点糊外,不得不说,还是有点逼真的,一不注意就上当了哇
url 都模仿了,防不胜防 |
 |
46
harwck 2021-11-28 10:53:04 +08:00
这弹窗是给小学生看的吗。。。
|
 |
47
caokeck 2021-11-28 11:11:36 +08:00
讲真第一眼真被骗了。以后要记得留心网页登陆弹窗了 233
|
 |
48
shizukupr 2021-11-28 11:13:47 +08:00
事实证明这玩意儿贯彻了“MacOS 玩啥游戏啊”这一基本原则,直接不适配 MacOS ,不行啊
|
 |
50
SupperMary 2021-11-28 11:20:21 +08:00
这个手段挺高明啊,通过 steam 登录,然后自己画一个框出来仿造登录 steam 的狂,甚至地址栏,签名啥的防的正常浏览器的,点进去一时间还没看出来啥有啥问题。
|
 |
51
moonkiller 2021-11-28 11:47:51 +08:00
@Perry 看来骗子有必要升级下,根据设备适配弹窗样式了
|
 |
52
hs0000t 2021-11-28 12:05:36 +08:00
1 高分屏适配,对于常见的 125% 150% 175% 200% 250%进行适配
2 系统适配,对 win7 win11 不同的窗口样式适配 3 浏览器适配,对 Firefox 浏览器,Edge 浏览器,360 浏览器等进行适配 |
 |
53
iqoo 2021-11-28 12:05:38 +08:00
弹框好歹用 fixed 定位啊,滚动条一滚弹框也跟着滚下去了,瞬间暴露。
|
 |
54
wdlth 2021-11-28 12:07:32 +08:00
这个一下就识破了,现在浏览器不显示 EV 的绿标了……
|
 |
55
uni 2021-11-28 12:14:31 +08:00
确实有可能中招
点开之前已经知道是钓鱼网站了所以点开之后确实感到有一些异样,具体为: edge 打开是 chrome ,我用的 dark mode 打开却是白色的,我用的 4k 屏肉眼可见右上角那个按钮跟我的浏览器的分辨率不太一样,一般登录的时候浏览器会自动帮我填充用户名密码但是这个窗口没有,这个窗口的质感跟浏览器新打开的窗口感觉不一样 如果不小心的话确实有可能会中招啊,先举报一波 |
 |
56
skiy 2021-11-28 12:14:32 +08:00
话说,他们怎么拦截“https://steamcommunity.com/openid/login”这个域名的数据的?难道是自己套了一层 webview ?
|
 |
58
tbxark 2021-11-28 12:26:51 +08:00 1
<img width="500" alt="WeChatd888ae1691313793050da79b4cb7ee0a" src="https://user-images.githubusercontent.com/9513891/143729558-0a548921-6480-4ab3-a1a9-9f73e8c35c74.png">
挺有创意的,就是在 Mac 下面看着有点傻,要是在识别一下操作系统和浏览器估计能骗不少人。 |
 |
59
terence4444 2021-11-28 12:27:11 +08:00
@uni 现在弹窗已经可以根据浏览器变更标题了
|
 |
60
Remember 2021-11-28 12:35:43 +08:00
@tbxark 费那劲干嘛,linux ,mac 用户少的可怜,而且比 win steam 用户防范心高那么多,不值得花精力去搞,win steam 用户足够他吃饱了。
|
 |
61
2i2Re2PLMaDnghL 2021-11-28 12:39:52 +08:00
刚遇上一个,也标记一下 challengermode[.]de[.]com
比较大的问题是语言是什么瘠薄,以及什么古老的 OV 绿锁。 最好用的是密码管理器 |
 |
62
xxx027 2021-11-28 12:40:51 +08:00
steamcommunity.com 根本就不能直连,能打开就说明问题了
|
 |
63
ysicing 2021-11-28 12:47:41 +08:00
那个语言只能是简体中文. 😆,我还在想我都是英文怎么突然识别出中文了
|
 |
64
v2tudnew 2021-11-28 12:56:32 +08:00
钓鱼捞:挺好的,性感大佬在线教学。😂
|
 |
65
AndyZhuAZ 2021-11-28 13:11:52 +08:00
这个弹窗笑死我了,UI 都不一样,只能骗骗 win10 吧😂
|
 |
66
Cooky 2021-11-28 13:13:58 +08:00
好家伙,得亏 https://steamcommunity.com/ 不开代理根本打不开,犹豫了看看,要不然真上当了
|
 |
67
hafuhafu 2021-11-28 13:14:07 +08:00
弹出的那层在非白色主题下太明显了,而且还会随滚动条滚动,第一次弹出来的时候直接被遮挡了一些,不过骗大多数人应该够了,第一次见这种钓鱼网站。钓鱼的不会看着这个贴不断改善吧😂
|
|
68
AndyZhuAZ 2021-11-28 13:14:36 +08:00
|
 |
69
lucays 2021-11-28 13:16:32 +08:00
说起来,我随便输的用户名和密码,还能弹用户名或密码不正确。。。他后台还有去验证的步骤。。
|
 |
70
mazyi 2021-11-28 13:27:33 +08:00
像我这种一开窗口就想要最大化的,根本不会被骗
|
 |
74
xylxAdai 2021-11-28 14:06:09 +08:00
还好我从来不会记账号密码,google 不帮我自动登录的都不管。
|
 |
75
happylty 2021-11-28 14:12:36 +08:00
被 spam404 规则给拦截了。。。打开白屏
|
 |
76
cweijan 2021-11-28 14:20:54 +08:00
这个网页弹窗真强, 你不说我还真以为是真的.
|
 |
78
yolee599 2021-11-28 14:24:01 +08:00 via Android
弹窗已经可以移动了,但是点击最大化窗口竟然显示了。但不是新开标签页还是一眼假
|
 |
79
bipy 2021-11-28 14:24:08 +08:00
有意思,没看评论还真没发现弹窗是假的
|
 |
80
huZhao 2021-11-28 14:25:14 +08:00
这种盗号手法,已经烂大街了吧,以前有人偷盗 QQ 账号密码,也是这个逻辑。
|
|
81
huZhao 2021-11-28 14:27:04 +08:00
2010 年,我 qq 就被这个手法给盗走了,当时 qq 绑定的地下城的游戏
|
 |
82
zhaidoudou123 2021-11-28 14:29:08 +08:00
好家伙,这做了个弹窗,还能识别我的 Firefox ,只可惜有的资源没加载出来是 x😂
技术力还挺高! |
 |
83
zwgf 2021-11-28 14:30:39 +08:00
估计作者会 fix 一下,判断一下用户系统和浏览器,然后显示不同的弹出窗口界面。
|
|
84
zhaidoudou123 2021-11-28 14:33:48 +08:00
最好的办法就是 steam 里收到的任何链接都当诈骗,99%不会错
|
|
85
zhaidoudou123 2021-11-28 14:36:17 +08:00 1
另外楼主,去看看 api ,人家不一定是为了盗号,可能是盯上了你的饰品,要是 api 被人弄走了,下次从 Buff 卖东西的时候就有可能被骗
|
 |
86
xing7673 2021-11-28 14:37:31 +08:00
牛逼哈哈哈哈
|
 |
87
oOoOoOoOoOo 2021-11-28 14:45:44 +08:00 via Android
我想要拥有这个作者的 后端 域名 服务器 PC Laptop Phone iPad
|
 |
88
jinliming2 2021-11-28 14:49:29 +08:00 1
这弹窗……
win 11 没有圆角,哈哈哈哈。 最小化、最大化、关闭三个按钮的功能是 [一样的] ,哈哈哈哈。 窗口跟着页面滚动,哈哈哈哈。 窗口一拖就能选中,哈哈哈哈。 这地址栏好方啊……一点都不 Chrome ! 选择语言里面……居然没有英语!!!哈哈哈哈哈,是懒得翻译吗?其他语言也切换不了。 加载白屏是因为这是个 iframe ,点击右边“将与 XXX 共享唯一的数字标识符”的链接可以开始套娃,哈哈哈哈。 |
 |
89
hm20062006ok 2021-11-28 14:54:58 +08:00
我咋打不开
|
 |
90
cfanmark 2021-11-28 15:13:48 +08:00
牛逼, 页中页伪装成弹窗
|
 |
91
siteshen 2021-11-28 15:34:39 +08:00
一个小建议,分享钓鱼网站时,多强调几次是「钓鱼网站」。并适时(比如后续的附言中?)说明其中的原理,毕竟能上 V2EX 的钓鱼站都身怀绝技(看此贴留言中,有多少人「咋一看」中招的)。
|
 |
92
zlowly 2021-11-28 15:40:11 +08:00
这仿真度,以后见到弹窗至少要在弹出标题栏上点一下右键或者拖动看看能否跑出页面外才能确定了。
|
|
93
Pika666 OP @Vtwoguest 没有,他是真的有转发 post 账号密码去官网验证的步骤,因为当时我真的登录了,还出现了找我要令牌验证码的弹窗,我输入以后提示了登录成功,然后网站就会直接用一个网络错误的遮罩隐藏所有内容,除非我清除 cookie 或者打开无痕模式。
|
 |
94
villivateur 2021-11-28 16:17:03 +08:00
这个网站连 FireFox 和 Chrome 都能做适配,也太强了
|
 |
95
ffgrinder 2021-11-28 16:17:10 +08:00
至少之前我都是看 chrome 的这个证书的
直到我换了 Mac + Firefox 不过这个真的是一个很好的教材,感谢楼主提醒. |
 |
97
wohccdaa 2021-11-28 16:19:17 +08:00 via iPhone
钓鱼穷处不见
|
|
98
villivateur 2021-11-28 16:26:28 +08:00
这是我见过的做的最认真的诈骗网站,献上我由衷的敬意 /doge
|
 |
99
HaneRo 2021-11-28 16:27:40 +08:00
这窗口真像啊,如果不是非全屏我就信了,分辨率不足的情况下网页出现了滚动条
|
 |
100
jackmod 2021-11-28 16:30:14 +08:00
|
Select Language