※ 引述《smallcountry (冰鋒冷劍)》之銘言:
: 本文轉載不須告知,感謝置底聊天區板友提供的消息。
: 雖然這是Reddit上消息來源,但是他由Steam Moderator發布,使用新聞標題。
: https://redd.it/5skfg4
: 巴哈的討論應該比較清楚
: https://forum.gamer.com.tw/C.php?bsn=60599&snA=13091&tnum=2
: ==============================================================================
: 原文大意是說:
: 這項漏洞已經回報Valve,應該很快會被修正。
: 目前的Steam個人檔案頁面存在安全漏洞,
: 只要你進入別人可疑的(真實的)Steam個人檔案頁面時立即可能遭到感染。
: 所有裝置的瀏覽器目前都受到影響。
: Do NOT click suspicious (real) steam profile links and
: Disable JavaScript on Browser.
: 目前的建議不要點擊任何進入可疑的(真實的)Steam個人檔案頁面網址連結,
: 且停用瀏覽器的JavaScript。
那串討論回文是我
以下都是推測,不過我覺得可能性很大,巴哈那邊我就不詳述了
我剛查看一下,為什麼點進『別人』個人首頁會受到釣魚網站的『攻擊』(非感染)
根據巴哈另一篇文章有教學如何在個人首頁播放Youtube的音樂
1.建立一篇攻略,標題要使用html語法『iframe』(重點)連結至Youtube(或任何連結)
2.使用『我的指南』展示欄,並將第一篇攻略擺上去
3.V社沒有檢查將html語法去除
4.個人頁面「我的指南」的iframe被執行,建立出框架並連結至Youtube→
Youtube自動播放→達成個人首頁自動播放音樂
iframe是幹麻的?Html語法中iframe是一種內置框架,能在網頁中在放置另一個網頁
漏洞是在V社檢查文章標題時,沒有將html語法去除
接下來就好玩了,iframe的語法可以拿來做啥?
搭配上JavaScript,可以做到自動轉址
你可能第一次進去是看到正常的個人網頁,但是因為iframe透過JS自動連結到釣魚網頁
你可能看到畫面閃一下就跳回登入畫面(釣魚網頁),
以為要重新登入,就輸入帳號密碼&驗證碼。
這時候釣魚網站就取得你的帳號、密碼及1分鐘內的驗證碼,
只要用自動化程式來自動登入,神不知鬼不覺就登入你的帳號。
不過因為V社交易系統的關係,物品庫的損失可以不計,頂多被刪掉
受害者有用手機驗證,因為要用手機再次確認,所以無法交易
受害者沒用手機驗證或E-mail驗證,因為有託管系統,即時發現的話傷害也能避免
比較大的問題在於,如果你有錢包餘額或是有登錄信用卡
透過『送禮』的方式,會造成實際上的損害(送禮不受30天交易限制)
黑客可以透過送禮榨乾錢包&刷爆信用卡、修改Steam密碼來達成拖延時間,
再將透過G2A、Eaby等拍賣網站,將禮物賣到第三方善意人士手上
============================================================================
受害者變成加害者
============================================================================
利用自動化機器人,用你的個人頁面,再次創造出上述漏洞
透過你的好友系統聊天,四處傳播,而且因為是『真正的Steam社區』的網址
所以V社網頁偵測也無法偵測是否為偽造、假、高風險網站
所以現在建議任何版友不要去點任何個人網頁,並且將JS確實關閉
因為這次漏洞更嚴重點,如果iframe 包的不是釣魚網站而是勒索病毒呢?