我还记得那个光线刺眼的午后,刚装好的电脑屏幕还贴着防窥膜,我迫不及待想试试它跑游戏的本事。对于我这种从CS1.6时代摸爬滚打过来的老玩家,Steam是必装平台。手边没有U盘,也懒得下载Chrome,心想系统自带的联想浏览器应该也能搞定。于是我打开它,在搜索栏输入“Steam下载”,敲下回车。
搜索结果页前四条全是“官方”字样,“Steam中文网”“Steam官方下载–高速安全”,我扫了一眼,点开了排第一的链接。那个网站做得相当逼真,一模一样的绿色圆角logo,页面布局也和印象里差不多,下载按钮在右上角。我点击下载,一个将近400MB的安装包下来了。安装过程中,弹出了几个推荐软件,我都快速点了“取消”或者“跳过”,但安装完后,桌面上多了一个图标,样子有点别扭——圆圈里的V是扁的,颜色偏亮绿。我双击打开,发现界面明显不对劲:登录框周围有闪烁的广告,商店首页全是没听过的国产游戏和一些带有赌博色彩的小游戏。我心里一沉,赶紧输入我的Steam账号试试,结果提示“账号或密码错误”。我反复确认密码无误后,立刻去Steam官方进行账号申诉,才发现自己访问的是高仿钓鱼站。那一瞬间,后背发凉——我的账号密码已经泄露了。我连忙改掉了所有关联密码,并在联想浏览器里开启了“恶意网址拦截”和“诈骗信息监控”,然后做了一个全盘杀毒。
安全检测结果显示没有病毒,但我还是不放心。我重新用联想浏览器搜索Steam,这次浏览器在几个钓鱼链接旁边显示出了“⚠️风险网站”的标签。我仔细一看,这些网站的域名都是一些诸如steam-download.cc或者steamdown.net等非官方变种。我意识到自己之前忽略掉了浏览器的提示——其实在点击链接的时候,地址栏旁边出现过一个小盾牌图标,我当时没在意,直接点了忽略。开启安全功能后,联想浏览器的确多了一道屏障。
我从朋友那里确认,Steam的唯一官网是 store.steampowered.com。我直接在联想浏览器的地址栏里输入了这个网址,按回车。打开的页面非常简洁,全英文,没有花哨的广告,只有“Install Steam”按钮。点击后下载了一个叫SteamSetup.exe的文件,体积只有1.3MB左右。这和之前那个几百兆的安装包天差地别。运行这个安装程序,它自动下载更新组件,全程没有捆绑任何多余软件。装好后,图标是精致的黑色圆盘,中心一个镂空V。登录非常顺畅,熟悉的界面回来了。那一刻,我长长松了一口气,也哭笑不得——自己之前怎么那么粗心。
事后,我把两个安装包都留了下来做对比:真Steam安装包数字签名是Valve Corporation,文件大小稳定;假安装包没有正规数字签名,且文件体积巨大,实际里面塞了大量的广告插件。我还发现,假Steam登录时没有使用HTTPS,地址栏没有那把锁。而真Steam从登录到商店全程都是加密连接。这些细节如果早注意到,就不会走那么多弯路。我通过联想浏览器的“举报”功能提交了那个钓鱼网站的地址,也算是贡献了一份力量。
这段经历对我的改变很大。现在我用浏览器下载任何软件,都会先看地址栏的小盾牌和域名,再点击下载链接。联想浏览器的安全功能我一直保持着开启状态,至少它能在我快要犯错时拉我一把。从假Steam到真游戏,虽然过程有些狼狈,但也让我长了记性。
