给大家看一个我上了当的 Steam 诈骗网站

• 資深大佬 : yulon

  通过 Steam 登录到 XXX.com：
  您的 Steam 登录凭据不会被共享。
  将与 XXX.com 共享唯一的数字标识符。由此 XXX.com 将可以识别您的 Steam 社区个人资料，并根据您的个人资料隐私设置访问您的 Steam 帐户信息。
  XXX.com 可以访问您在 Steam 个人资料页面上设置为可公开查看的所有信息。
  点击”登录”表示您同意共享此数据。
  这是 Steam 连接登陆啊，你看登陆时的网址=。=

• 主 資深大佬 : Pika666

  @yulon 啥意思？有可能中什么招吗？

• 資深大佬 : yuzo555

  @yulon 你看看，你就中招了

• 資深大佬 : AX5N

  这个钓鱼做得还挺有意思的，点了登陆后会把账号密码 post 到 https://5earenas.com/auth.php

• 資深大佬 : duzhor

  这网站没问题，就像有些论坛你可以 qq 登录

• 資深大佬 : duzhor

  @AX5N 有这回事啊，还是我大意了

• 資深大佬 : h404bi

  厉害了，确实有创意。伪造了 openid 登录窗，做得有模有样的，连加载白屏的时间都做出来了

• 資深大佬 : Dreax

  @h404bi 说不定作者也逛 v 站 看到立马 fix 了

• 資深大佬 : Greatshu

  之前我也遇到过这种，还好当时用的火狐，弹出一个 chrome 才意识到不对劲

• 資深大佬 : stillsilly

  弹窗是假的……

• 主 資深大佬 : Pika666

  我当时正在打官匹竞技，这个骗子加了好友准确的说出我上局的下饭操作，我戒心一下就放下了以为是之前一起玩的，我在死亡空挡切出去帮他投票，就没有注意太多细节，这种程度的钓鱼，真的有很多兄弟会上当。

• 資深大佬 : ynyounuo

  非 Windows 用户幸免于难

• 資深大佬 : ryd994

  @yulon 你说说，openid 的域名应该是什么？
  openid 为什么要跳转到官方网站上再跳回第三方网站？

• 資深大佬 : eason1874

  @yulon #1 授权 tab 是假的，钓鱼网页内 CSS+DIV 模拟的
  还别说，画了标题栏、网址栏，网址前面还有证书信息，像模像样，我第一眼也被骗了

• 資深大佬 : SimonOne

  @yulon #1 这是个锤子，这整个网页包括地址栏都是仿的，那不是浏览器的地址栏。整个弹窗是 https://5earenas.com/上假造的，你不信拖一下那个窗口，就发现根本不是窗口。

• 資深大佬 : liandi1990

  作为 Linux 上的 Firefox 用户，我看到这个“弹窗”后笑出了声

• 資深大佬 : Perry

  Mac 用户一眼识破假窗口

• 資深大佬 : ZRS

  画的弹窗 一眼假

• 資深大佬 : yin1999

  Google Chrome 在点登陆时直接提示这是一个诈骗网站了

• 資深大佬 : ziseyinzi

  firefox 打开，窗口标题已经变成 Mozilla Firefox 了，作者真的有可能上 v 站……不过它还是没能模仿我用的染山霞主题，各位如果想要防范类似网站，给浏览器设置一个主题或许是个不错的办法。
  话说回来，某些网站使用这类登录窗的意义是什么，老老实实弹个新标签页不好吗，印象中正版 steam 是不使用登录窗的。

• 資深大佬 : Zeonjl

  提示账号名称与秘密不正确

• 資深大佬 : xxb

  @yulon #1 也许一就是作者呢

• 資深大佬 : Kininaru

  用着 Windows 11 ，那个弹窗不是圆角的，分辨率也不太对劲，就看出来了（而且我 Edge 怎么会弹 Chrome 的弹窗
  嘿嘿主我在中文独立博客看到过你，没想到你也玩 v2ex

• 主 資深大佬 : Pika666

  @Kininaru 哈哈哈，少侠好记性，我也记得你在我那篇被网警约谈的文章底下留言来着

• 主 資深大佬 : Pika666

  @yin1999 你是装了什么杀毒软件或插件吗？为什么我的最新版 Google Chrome 和 360 浏览器没有这种提示

• 資深大佬 : wonderfulcxm

  有点意思哈

• 主 資深大佬 : Pika666

  上很多同学说自己是 Linux 或者 MacOS 的打开网页不会被骗，但其实网站改进这点应该比较容易，对不同 UA 做出不同的框体外观。此外通过 Steam 好友系统发送的钓鱼链接，受众多半都是 Windows 用户，其实还是有些容易上当的。

• 主 資深大佬 : Pika666

  
  
  不管怎么说先举报了，哈哈

• 資深大佬 : amirobotics

  第一眼被骗。这钓鱼网页做到不错。

• 資深大佬 : kidonng

  这伪造的弹窗连个窗口阴影都没有，Windows 用户也骗不到

• 資深大佬 : jedz

  哇这个假弹窗，不仔细看还真不好发现

• 主 資深大佬 : Pika666

  @kidonng 你看我 11 的状态，设身处地的想一下，其实也不一定的。你现在点进去是带着防备心的，很容易发现异样。哈哈哈哈

• 資深大佬 : failpass

  好家伙，真的服，以后通过 url 判断也不可靠了。

• 資深大佬 : Zepp

  笑死，骗子伪造的这个窗口在我的高分屏上糊得要命

• 資深大佬 : shadows

  不得不说，这弹窗不小心的话真会被骗了

• 資深大佬 : seakingii

  这个骗子网站骗到密码后可以获取到什么利益?能偷游戏?不太了解…

• 主 資深大佬 : Pika666

  @seakingii Steam 盗号已经是个产业链了，我有一个三无小号不知道怎么的密码泄露了，每天不定时都会收到一两封全世界各地登录请求的邮件验证码。大的不说，PUBG 和 CSGO 里那么多开挂的封了一茬又一茬，他们都是用的这种买来的黑号

• 資深大佬 : seakingii

  @Pika666 明白了

• 資深大佬 : seakingii

  像我这种只打单机体会不到这种需求…

• 主 資深大佬 : Pika666

  
  
  
  看看这销量。。。

• 資深大佬 : agdhole

  我也被这弹窗骗了

• 資深大佬 : BarryPan

  我 mac 系统弹窗个 Windows ？？？？？？

• 主 資深大佬 : Pika666

  @BarryPan check 27#

• 資深大佬 : cmdOptionKana

  看来以后这种授权要注意看证书了

• 資深大佬 : Senorsen

• 資深大佬 : harwck

  这弹窗是给小学生看的吗。。。

• 資深大佬 : caokeck

  讲真第一眼真被骗了。以后要记得留心网页登陆弹窗了 233

• 資深大佬 : shizukupr

  事实证明这玩意儿贯彻了“MacOS 玩啥游戏啊”这一基本原则，直接不适配 MacOS ，不行啊

• 資深大佬 : longsays

  @yuzo555 还好还好，keepass 用户，密码我自己都不记得，自动填充的，网址不对不填充

• 資深大佬 : SupperMary

  这个手段挺高明啊，通过 steam 登录，然后自己画一个框出来仿造登录 steam 的狂，甚至地址栏，签名啥的防的正常浏览器的，点进去一时间还没看出来啥有啥问题。

• 資深大佬 : moonkiller

  @Perry 看来骗子有必要升级下，根据设备适配弹窗样式了

• 資深大佬 : hs0000t

  1 高分屏适配，对于常见的 125% 150% 175% 200% 250%进行适配
  2 系统适配，对 win7 win11 不同的窗口样式适配
  3 浏览器适配，对 Firefox 浏览器，Edge 浏览器，360 浏览器等进行适配

• 資深大佬 : iqoo

  弹框好歹用 fixed 定位啊，滚动条一滚弹框也跟着滚下去了，瞬间暴露。

• 資深大佬 : wdlth

  这个一下就识破了，现在浏览器不显示 EV 的绿标了……

• 資深大佬 : uni

  确实有可能中招
  点开之前已经知道是钓鱼网站了所以点开之后确实感到有一些异样，具体为：
  edge 打开是 chrome ，我用的 dark mode 打开却是白色的，我用的 4k 屏肉眼可见右上角那个按钮跟我的浏览器的分辨率不太一样，一般登录的时候浏览器会自动帮我填充用户名密码但是这个窗口没有，这个窗口的质感跟浏览器新打开的窗口感觉不一样
  如果不小心的话确实有可能会中招啊，先举报一波

• 資深大佬 : skiy

  话说，他们怎么拦截“https://steamcommunity.com/openid/login”这个域名的数据的？难道是自己套了一层 webview ？

• 資深大佬 : yannxia

  @skiy 没拦截，那就是一个假的

• 資深大佬 : tbxark

  <img width=”500″ alt=”WeChatd888ae1691313793050da79b4cb7ee0a” src=”https://user-images.githubusercontent.com/9513891/143729558-0a548921-6480-4ab3-a1a9-9f73e8c35c74.png”>
  挺有创意的，就是在 Mac 下面看着有点傻，要是在识别一下操作系统和浏览器估计能骗不少人。

• 資深大佬 : terence4444

  @uni 现在弹窗已经可以根据浏览器变更标题了

• 資深大佬 : Remember

  @tbxark 费那劲干嘛，linux ，mac 用户少的可怜，而且比 win steam 用户防范心高那么多，不值得花精力去搞，win steam 用户足够他吃饱了。

• 資深大佬 : 2i2Re2PLMaDnghL

  刚遇上一个，也标记一下 challengermode[.]de[.]com
  比较大的问题是语言是什么瘠薄，以及什么古老的 OV 绿锁。
  最好用的是密码管理器

• 資深大佬 : xxx027

  steamcommunity.com 根本就不能直连，能打开就说明问题了

• 資深大佬 : ysicing

  那个语言只能是简体中文.

• 資深大佬 : v2tudnew

  钓鱼捞：挺好的，性感大佬在线教学。

• 資深大佬 : AndyZhuAZ

  这个弹窗笑死我了，UI 都不一样，只能骗骗 win10 吧

• 資深大佬 : Cooky

  好家伙，得亏 https://steamcommunity.com/ 不开代理根本打不开，犹豫了看看，要不然真上当了

• 資深大佬 : hafuhafu

  弹出的那层在非白色主题下太明显了，而且还会随滚动条滚动，第一次弹出来的时候直接被遮挡了一些，不过骗大多数人应该够了，第一次见这种钓鱼网站。钓鱼的不会看着这个贴不断改善吧

• 資深大佬 : AndyZhuAZ

  甚至分辨率都不统一 https://i.loli.net/2021/11/28/V6d4Y8pzAKOWDju.png

• 資深大佬 : lucays

  说起来，我随便输的用户名和密码，还能弹用户名或密码不正确。。。他后台还有去验证的步骤。。

• 資深大佬 : mazyi

  像我这种一开窗口就想要最大化的，根本不会被骗

• 資深大佬 : Vtwoguest

  @lucays 没有验证 他把这句话元素隐藏了(style=display) 点击登录他就会显现

• 資深大佬 : xarthur

  @Perry

• 資深大佬 : hytxk

  @Pika666 我是只要没有谷歌自动登录，一概视为假网站

• 資深大佬 : xylxAdai

  还好我从来不会记账号密码，google 不帮我自动登录的都不管。

• 資深大佬 : happylty

  被 spam404 规则给拦截了。。。打开白屏

• 資深大佬 : cweijan

  这个网页弹窗真强, 你不说我还真以为是真的.

• 資深大佬 : cweijan

  @Pika666 举报没啥用, 我举报了好几个盗卖资源的, 都好好的.

• 資深大佬 : yolee599

  弹窗已经可以移动了，但是点击最大化窗口竟然显示了。但不是新开标签页还是一眼假

• 資深大佬 : bipy

  有意思，没看评论还真没发现弹窗是假的

• 資深大佬 : huZhao

  这种盗号手法，已经烂大街了吧，以前有人偷盗 QQ 账号密码，也是这个逻辑。

• 資深大佬 : huZhao

  2010 年，我 qq 就被这个手法给盗走了，当时 qq 绑定的地下城的游戏

• 資深大佬 : zhaidoudou123

  好家伙，这做了个弹窗，还能识别我的 Firefox ，只可惜有的资源没加载出来是 x

• 資深大佬 : zwgf

  估计作者会 fix 一下，判断一下用户系统和浏览器，然后显示不同的弹出窗口界面。

• 資深大佬 : zhaidoudou123

  最好的办法就是 steam 里收到的任何链接都当诈骗，99%不会错

• 資深大佬 : zhaidoudou123

  另外主，去看看 api ，人家不一定是为了盗号，可能是盯上了你的饰品，要是 api 被人弄走了，下次从 Buff 卖东西的时候就有可能被骗

• 資深大佬 : xing7673

  牛逼哈哈哈哈

• 資深大佬 : oOoOoOoOoOo

  我想要拥有这个作者的 后端 域名 服务器 PC Laptop Phone iPad

• 資深大佬 : jinliming2

  这弹窗……
  win 11 没有圆角，哈哈哈哈。
  最小化、最大化、关闭三个按钮的功能是 [一样的] ，哈哈哈哈。
  窗口跟着页面滚动，哈哈哈哈。
  窗口一拖就能选中，哈哈哈哈。
  这地址栏好方啊……一点都不 Chrome ！
  选择语言里面……居然没有英语！！！哈哈哈哈哈，是懒得翻译吗？其他语言也切换不了。
  加载白屏是因为这是个 iframe ，点击右边“将与 XXX 共享唯一的数字标识符”的链接可以开始套娃，哈哈哈哈。

• 資深大佬 : hm20062006ok

  我咋打不开

• 資深大佬 : cfanmark

  牛逼, 页中页伪装成弹窗

• 資深大佬 : siteshen

  一个小建议，分享钓鱼网站时，多强调几次是「钓鱼网站」。并适时（比如后续的附言中？）说明其中的原理，毕竟能上 V2EX 的钓鱼站都身怀绝技（看此贴留言中，有多少人「咋一看」中招的）。

• 資深大佬 : zlowly

  这仿真度，以后见到弹窗至少要在弹出标题栏上点一下右键或者拖动看看能否跑出页面外才能确定了。

• 主 資深大佬 : Pika666

  @Vtwoguest 没有，他是真的有转发 post 账号密码去官网验证的步骤，因为当时我真的登录了，还出现了找我要令牌验证码的弹窗，我输入以后提示了登录成功，然后网站就会直接用一个网络错误的遮罩隐藏所有内容，除非我清除 cookie 或者打开无痕模式。

• 資深大佬 : villivateur

  这个网站连 FireFox 和 Chrome 都能做适配，也太强了

• 資深大佬 : ffgrinder

  至少之前我都是看 chrome 的这个证书的
  直到我换了 Mac + Firefox
  不过这个真的是一个很好的教材,感谢主提醒.

• 資深大佬 : ffgrinder

  @livid 这种帖子是不是可以给个权重,毕竟感觉这种骗术还是比较新颖的.

• 資深大佬 : liu1609629379

  钓鱼穷处不见

• 資深大佬 : villivateur

  这是我见过的做的最认真的诈骗网站，献上我由衷的敬意 /doge

• 資深大佬 : HaneRo

  这窗口真像啊，如果不是非全屏我就信了，分辨率不足的情况下网页出现了滚动条

• 資深大佬 : jackmod

  正牌网站应该是
  https://www.5eplay.com
  https://www.5earena.com