A. 介绍几个英文单字 1. Valve, V A L V E = Valve a. 阀;活门 // ref: 剑桥词典 https://goo.gl/SeRLPm b. 开发电子游戏的美国公司 // ref: wikipedia https://goo.gl/tv2ZBg 2. Steam, S T E A M = Steam a. 蒸汽,水蒸气 // ref: 剑桥词典 https://goo.gl/wUetm2 b. PC电子游戏平台 // ref: wikipedia https://goo.gl/HskWQ5 3. community, C O M M U N I T Y = community a. 社区;群体;社团,团体 // ref: 剑桥词典 https://goo.gl/Am62mC b. 和steam一起构成Steam官方社群网址 如: i.游戏社群中心网址: steamcommunity.com/app/220 ii.Steam个人档案页面网址 steamcommunity.com/id/strykery/ iii.注意: Steam官方社群网址前半段, 就只 steam community 这2个英文单字。 小心伪物网址 steamacommunity 两字中间多了a, 是假网站 小心伪物网址 steamcommmunity community中间多了个m, 是假网站 // ref: gamasutra https://goo.gl/2aKqyI B. 假网站受害者的经验 from Steam CSGO社群 https://goo.gl/4y8vwj Google翻译为英文后,粗略整理如下 // 求神人帮翻译原文 m(_ _)m (1)苦主看到一个如上所说的网址 (2)苦主没想太多点了进去,开启浏览器; 执行一个exe档后,被要求登入Steam,好像还贴上Steam Guard code (?) (3)结果他损失了一些很重要的东西 C. Steam盗窃者如何盗取使用者个资 from gamasutra https://goo.gl/2aKqyI 1. 利用假网站, 放置假的游戏工具软件, 并透过email或社交网站传讯,散播假的工具软件的下载连结。 这些假的游戏工具软件,本身是恶意软件(malware)。 2. 一旦使用者执行这些假的工具软件, 这类恶意软件里的凭证窃程式会:复制/转移/提取(exfiltrate)使用者电脑里, 一定数量、用于Steam帐户授权的关键档案。 这些遭复制/转移/提取的关键档案, 包含调控用的设定档(configuration settings), 也包含一些Steam Guard的核心设定(core Steam Guard settings)。 这也就是为什么即使你设定了两步骤验证, 这类攻击也能躲过这道验证; 因为这种攻击模式, 就像一种pass-the-hash或cookie-stealing attack. //有请大神帮忙翻m(_ _)m 3. 对这些数位小偷来讲, 真正有价值的,可能不会是使用者收藏库里的游戏, 而是使用者物品库里那些收集品,或储存在Steam里的个人资料, 比方说信用卡资料,或惯用的Email等。 D. 如何识别这类假网站 1. Valve Steam 官方网页提供的网址列验证 http://i.imgur.com/9lnRbFp.png 官方 Steam 网站会在浏览器中的网址列, 以绿色挂锁的图示方式显示“Valve Corp.”。 2. 登入前再三仔细检查网域名称 一些假网站用的大多是官方网站少一个字或多一个字的网域。 // ref Consumer rights https://goo.gl/idvWlk 希望大家看到网址点下去前, 都能再三检查仔细确认要登入的网页, 是否真是Steam官方的登入网页,还是只是一个假的诈骗网站(scam)。