Steam是全世界游戏玩家最熟悉的平台,但也是盗号事件的高发区。我自己就曾差点中招,身边也有朋友一夜之间库存清空。很多人觉得盗号很遥远,其实当你习惯性地点进某个链接,或者重复使用一个密码时,账号已经在悬崖边上了。下面我根据自己的经历和观察,聊聊那些最常见的被盗原因。
一、弱密码与密码复用:撞库是最常见的手段
很多玩家图省事,把Steam密码设成生日、123456或者自己名字拼音,甚至和QQ、邮箱使用同一套密码。可一旦某个网站的数据库被脱裤,黑客就会用这些组合去试Steam。我的一个朋友就是因为在某个小论坛用了和Steam一样的密码,一天之内账号就被异地登录,两年库存全部被转走。Steam虽然有两步验证,但第一步的密码如果太弱,就等于把钥匙直接放在门口。
二、钓鱼网站和虚假链接:眼睛也会骗人
钓鱼操作比想象中更隐蔽。我曾经收到一封看似来自Steam官方的邮件,说我的账户有异常登录,让我点链接验证。页面做得跟真的一模一样,地址也就差一个字母。还好那天我习惯性地用手机Steam App看了一下,才发现那是个假站点。很多盗号者会混进游戏社群、QQ群,发免费抽奖、福利链接,点进去就是伪装的Steam登录框。你一旦输入账号密码,它们就被实时传送到了对方手里。
三、恶意软件和盗号木马:潜伏在破解和外挂里
有些人为了省钱下破解游戏,或者为了竞技开外挂,结果电脑里被塞了木马。这类木马专门盯着Steam文件,能直接窃取保存的密码或者截取键盘记录。更高级的还能趁你登录时抓走session token,即使你开了手机令牌也没用。我以前认识一个朋友,总爱玩私服,结果电脑里全是扫描器,Steam账号一个月被盗三次。
四、公共WiFi和网络嗅探:廉价咖啡里的代价
现在很多人喜欢带着笔记本去星巴克或者图书馆玩Steam,但公共WiFi常常是没有加密的。黑客只要用一些嗅探工具,就能抓到整个局域网里的数据包,如果Steam没有走HTTPS(现在默认是,但有些老版本或者第三方登录页可能还是HTTP),账号密码就直接暴露了。我在学校的时候就亲眼见过有人用Wireshark演示盗取局域网内的HTTP登录信息,虽然Steam本身有保护,但有些关联的登录流程并没有那么安全。
五、第三方网站授权和Steam OpenID漏洞
很多网站和游戏支持“通过Steam登录”,只要一点确认授权就能用。但有些恶意网站会利用这个OpenID,在授权时索要过多的权限,甚至通过脚本持续获取你的账号信息。一旦你点过授权,哪怕没有输入密码,账号也可能被关联操作。还有的网站本身就不安全,拿你的Steam信息去撞别的数据库。所以现在我偶尔登录第三方网站,都会看一眼它到底要什么权限,用完就手动取消。
六、邮箱和手机号:如果你连这层也丢了
Steam账号大多数时候是靠邮箱重置密码的。如果你的邮箱密码和Steam一样,或者邮箱也被盗了,那黑客直接就可以在邮箱里收验证码改你密码。我同事就是这样,邮箱被钓鱼后,Steam、Origin、Ubisoft一个没跑掉。手机令牌虽然安全,但如果手机被云备份或者收短信的号码被补卡,同样有风险。很多盗号者会先盯上你的邮箱,再顺藤摸瓜。
这些原因看起来都不复杂,但恰恰是最多人栽跟头的地方。每次看到有人发帖说自己库存没了,我都会问一句:你密码是否重复用了?你有没有点过陌生人给的链接?回答往往都是沉默。不是Steam有多容易破,而是我们自己给了太多机会。
