瀏覽器中的瀏覽器？駭客偽造Steam登入頁釣玩家帳密 完整客服到認證難查異狀

Valve 旗下遊戲平台 Steam 9 月 12 日上線 19 周年，但打從 2010 年代開始，Steam 玩家們就常常在平台上收到各種可疑的詐騙訊息，試圖騙取玩家們的帳號或是道具。

隨著各種技術的進步，現代的網路釣魚詐騙手法也開始變得更加複雜，甚至能夠以假亂真。而最新一波出現在 Steam 平台上的駭客攻擊手段，則鎖定了一些渴求表現機會的電競專業玩家。

資安網站 Group-IB 表示，一種極為複雜的「瀏覽器中的瀏覽器」(Browser in the Browser, BitB) 網路釣魚技術在今年稍早開始憑空出現，最初由資安分析網站 mr.d0x 發現，在那之後 Steam 使用者就成為這波詐騙的最大下手目標。根據資安網站的說法，這個手法最大的關鍵，就在於攻擊者不僅會模仿一個網站頁面，還有一個跳出式瀏覽器視窗，讓他們能夠製作一個以假亂真的偽造 Steam 登入畫面，甚至還展示了假的 SSL 認證鎖等其他圖示。

這些詐騙者會利用這樣的手法鎖定 Steam 平台上的電子競技與專業玩家，向他們寄出假的比賽邀請通知，如果有玩家上鉤的話，他們就會被導向一個可信度極高的比賽平台頁面，並要求他們「登入」Steam 帳戶認證。而登入頁面當然就是剛剛提到的偽造「瀏覽器中的瀏覽器」視窗，如果他們真的落入圈套的話，駭客就能取得他們的 Steam 帳戶，以及包含在其中的所有遊戲以及《CS:GO》或《絕地要塞2》等遊戲的虛擬道具。

由於受害玩家多半是在《CS:GO》等遊戲中投入大量時間的競技玩家，因此他們的收藏庫中很有可能擁有不少相當值錢的槍枝造型塗裝等道具。

這個偽造的彈出視窗包含了虛假的資安認證，以及用多種語言寫出的客服資訊，也能夠放大縮小或移動。由於玩家確實能夠在不少第三方網站登入他們的 Steam 帳戶認證，不少專業玩家在受騙時都不疑有他，更別說從這個手法使用的登入畫面中幾乎看不出任何異狀。

根據 Bleeping Computer 網站的解釋，這樣的攻擊手法採用了 JavaScript 程式語言，因此玩家能夠透過在瀏覽器中安裝「腳本阻擋擴充」(script blocking extension) 來達到保護效果，阻止這些原始碼的運作。但無論如何，最重要的還是得提防任何寄送到個人 Steam 信箱中的私訊，尤其是那種附上了可疑連結的陌生訊息，這樣才能真正達到最有效的保護作用。

參考資料：PC Gamer