網路普及就難免有不肖人士潛伏其中，想方設法地從用戶手上騙取個資、帳密、財物等，之前比較常見的網路釣魚在於電子郵件、假冒各種中獎或危言聳聽的網站，不過國外有網友發現連 Steam 也成為不肖人士的目標！

[the_ad_placement id=”ad2″] 

Steam 詐騙

疫情期間玩家滯留於各大遊戲平台的時間變多了，也使得不法之徒將目光放到知名遊戲平台 Steam 上面。Reddit 論壇上有網友發現一個新型的釣魚模式，它其實相當類似於傳統釣魚詐騙，一開始看起來還算正常，就是以 Steam 好友的名義要求你幫忙到 Steam OAuth 上面去為他們的團隊投票。

鎖定帳號

投票前，就像其他與 Steam 連動的合法網站一樣必須用 Steam 個人帳號進行登入，接下來，網友發現當你按下「透過 Steam 登入」後，在分頁中會出現一個虛擬彈出視窗，這個視窗是以 CSS 在目前網站上面加上一層，讓你誤以為出現一個新的視窗。這個假視窗不管 UI 元素或是各種圖示都和真正的 Steam 登入視窗相同，用意在於讓你誤以為正在使用官方的登入頁面，並且誤以為在此輸入帳號密碼是安全的。更糟糕的一點是，如果你本身有啟動雙重驗證機制（2FA），它會要求你在手機上接收 2FA 代碼，如果你毫無警覺地輸入後，它會將你的 Steam 身分驗證應用直接記錄到攻擊者的設備中，而你會被鎖在帳號外動彈不得。

切忽掉以輕心

這並非不法人士首次利用 Steam 彈出視窗來進行網路釣魚，隨著網路釣魚行為的變種出現，大家應該要更注意蛛絲馬跡，單是辨認 HTTPS 、網址與網名稱已經不足以防範，千萬要小心防備，不要在陌生、可靠性堪慮的其他地方填寫個人登入資訊才是上策。

[the_ad_placement id=”ad2″]