※ 引述《smallcountry (冰锋冷剑)》之铭言:
: 本文转载不须告知,感谢置底聊天区板友提供的消息。
: 虽然这是Reddit上消息来源,但是他由Steam Moderator发布,使用新闻标题。
: https://redd.it/5skfg4
: 巴哈的讨论应该比较清楚
: https://forum.gamer.com.tw/C.php?bsn=60599&snA=13091&tnum=2
: ==============================================================================
: 原文大意是说:
: 这项漏洞已经回报Valve,应该很快会被修正。
: 目前的Steam个人档案页面存在安全漏洞,
: 只要你进入别人可疑的(真实的)Steam个人档案页面时立即可能遭到感染。
: 所有装置的浏览器目前都受到影响。
: Do NOT click suspicious (real) steam profile links and
: Disable JavaScript on Browser.
: 目前的建议不要点击任何进入可疑的(真实的)Steam个人档案页面网址连结,
: 且停用浏览器的JavaScript。
那串讨论回文是我
以下都是推测,不过我觉得可能性很大,巴哈那边我就不详述了
我刚查看一下,为什么点进‘别人’个人首页会受到钓鱼网站的‘攻击’(非感染)
根据巴哈另一篇文章有教学如何在个人首页播放Youtube的音乐
1.建立一篇攻略,标题要使用html语法‘iframe’(重点)连结至Youtube(或任何连结)
2.使用‘我的指南’展示栏,并将第一篇攻略摆上去
3.V社没有检查将html语法去除
4.个人页面“我的指南”的iframe被执行,建立出框架并连结至Youtube→
Youtube自动播放→达成个人首页自动播放音乐
iframe是干麻的?Html语法中iframe是一种内置框架,能在网页中在放置另一个网页
漏洞是在V社检查文章标题时,没有将html语法去除
接下来就好玩了,iframe的语法可以拿来做啥?
搭配上JavaScript,可以做到自动转址
你可能第一次进去是看到正常的个人网页,但是因为iframe透过JS自动连结到钓鱼网页
你可能看到画面闪一下就跳回登入画面(钓鱼网页),
以为要重新登入,就输入帐号密码&验证码。
这时候钓鱼网站就取得你的帐号、密码及1分钟内的验证码,
只要用自动化程式来自动登入,神不知鬼不觉就登入你的帐号。
不过因为V社交易系统的关系,物品库的损失可以不计,顶多被删掉
受害者有用手机验证,因为要用手机再次确认,所以无法交易
受害者没用手机验证或E-mail验证,因为有托管系统,即时发现的话伤害也能避免
比较大的问题在于,如果你有钱包余额或是有登录信用卡
透过‘送礼’的方式,会造成实际上的损害(送礼不受30天交易限制)
黑客可以透过送礼榨干钱包&刷爆信用卡、修改Steam密码来达成拖延时间,
再将透过G2A、Eaby等拍卖网站,将礼物卖到第三方善意人士手上
============================================================================
受害者变成加害者
============================================================================
利用自动化机器人,用你的个人页面,再次创造出上述漏洞
透过你的好友系统聊天,四处传播,而且因为是‘真正的Steam社区’的网址
所以V社网页侦测也无法侦测是否为伪造、假、高风险网站
所以现在建议任何版友不要去点任何个人网页,并且将JS确实关闭
因为这次漏洞更严重点,如果iframe 包的不是钓鱼网站而是勒索病毒呢?