给大家看一个我上了当的 Steam 诈骗网站

通过 Steam 登录到 XXX.com：
您的 Steam 登录凭据不会被共享。
将与 XXX.com 共享唯一的数字标识符。由此 XXX.com 将可以识别您的 Steam 社区个人资料，并根据您的个人资料隐私设置访问您的 Steam 帐户信息。
XXX.com 可以访问您在 Steam 个人资料页面上设置为可公开查看的所有信息。
点击"登录"表示您同意共享此数据。

这是 Steam 连接登陆啊，你看登陆时的网址=。=

@yulon 啥意思？有可能中什么招吗？

@yulon 你看看，你就中招了

这个钓鱼做得还挺有意思的，点了登陆后会把账号密码 post 到 https://5earenas.com/auth.php

这网站没问题，就像有些论坛你可以 qq 登录

@AX5N 有这回事啊，还是我大意了

厉害了，确实有创意。伪造了 openid 登录窗，做得有模有样的，连加载白屏的时间都做出来了。要不是 Edge 看到标题是 Google Chrome 差点就信了。

@h404bi 说不定作者也逛 v 站 看到立马 fix 了

之前我也遇到过这种，还好当时用的火狐，弹出一个 chrome 才意识到不对劲

弹窗是假的……

我当时正在打官匹竞技，这个骗子加了好友准确的说出我上局的下饭操作，我戒心一下就放下了以为是之前一起玩的，我在死亡空挡切出去帮他投票，就没有注意太多细节，这种程度的钓鱼，真的有很多兄弟会上当。

非 Windows 用户幸免于难

@yulon 你说说，openid 的域名应该是什么？
openid 为什么要跳转到官方网站上再跳回第三方网站？

@yulon #1 授权 tab 是假的，钓鱼网页内 CSS+DIV 模拟的

还别说，画了标题栏、网址栏，网址前面还有证书信息，像模像样，我第一眼也被骗了

@yulon #1 这是个锤子，这整个网页包括地址栏都是仿的，那不是浏览器的地址栏。整个弹窗是 https://5earenas.com/上假造的，你不信拖一下那个窗口，就发现根本不是窗口。

作为 Linux 上的 Firefox 用户，我看到这个“弹窗”后笑出了声

Mac 用户一眼识破假窗口

画的弹窗 一眼假

Google Chrome 在点登陆时直接提示这是一个诈骗网站了

firefox 打开，窗口标题已经变成 Mozilla Firefox 了，作者真的有可能上 v 站……不过它还是没能模仿我用的染山霞主题，各位如果想要防范类似网站，给浏览器设置一个主题或许是个不错的办法。
话说回来，某些网站使用这类登录窗的意义是什么，老老实实弹个新标签页不好吗，印象中正版 steam 是不使用登录窗的。

提示账号名称与秘密不正确

@yulon #1 也许一楼就是作者呢

用着 Windows 11 ，那个弹窗不是圆角的，分辨率也不太对劲，就看出来了（而且我 Edge 怎么会弹 Chrome 的弹窗

嘿嘿楼主我在中文独立博客看到过你，没想到你也玩 v2ex

@Kininaru 哈哈哈，少侠好记性，我也记得你在我那篇被网警约谈的文章底下留言来着

@yin1999 你是装了什么杀毒软件或插件吗？为什么我的最新版 Google Chrome 和 360 浏览器没有这种提示

有点意思哈

楼上很多同学说自己是 Linux 或者 MacOS 的打开网页不会被骗，但其实网站改进这点应该比较容易，对不同 UA 做出不同的框体外观。此外通过 Steam 好友系统发送的钓鱼链接，受众多半都是 Windows 用户，其实还是有些容易上当的。

不管怎么说先举报了，哈哈

第一眼被骗。这钓鱼网页做到不错。

这伪造的弹窗连个窗口阴影都没有，Windows 用户也骗不到

哇这个假弹窗，不仔细看还真不好发现

@kidonng 你看我 11 楼的状态，设身处地的想一下，其实也不一定的。你现在点进去是带着防备心的，很容易发现异样。哈哈哈哈

好家伙，真的服，以后通过 url 判断也不可靠了。

笑死，骗子伪造的这个窗口在我的高分屏上糊得要命

不得不说，这弹窗不小心的话真会被骗了

这个骗子网站骗到密码后可以获取到什么利益?能偷游戏?不太了解...

@seakingii Steam 盗号已经是个产业链了，我有一个三无小号不知道怎么的密码泄露了，每天不定时都会收到一两封全世界各地登录请求的邮件验证码。大的不说，PUBG 和 CSGO 里那么多开挂的封了一茬又一茬，他们都是用的这种买来的黑号

@Pika666 明白了

像我这种只打单机体会不到这种需求...

看看这销量。。。

我也被这弹窗骗了
骗子骗术升级的这么快

我 mac 系统弹窗个 Windows ？？？？？？

@BarryPan check 27#

看来以后这种授权要注意看证书了

啊这，除了系统没适配（ macOS ）、高分屏有点糊外，不得不说，还是有点逼真的，一不注意就上当了哇

url 都模仿了，防不胜防

这弹窗是给小学生看的吗。。。

讲真第一眼真被骗了。以后要记得留心网页登陆弹窗了 233

事实证明这玩意儿贯彻了“MacOS 玩啥游戏啊”这一基本原则，直接不适配 MacOS ，不行啊

@yuzo555 还好还好，keepass 用户，密码我自己都不记得，自动填充的，网址不对不填充

这个手段挺高明啊，通过 steam 登录，然后自己画一个框出来仿造登录 steam 的狂，甚至地址栏，签名啥的防的正常浏览器的，点进去一时间还没看出来啥有啥问题。

@Perry 看来骗子有必要升级下，根据设备适配弹窗样式了

1 高分屏适配，对于常见的 125% 150% 175% 200% 250%进行适配
2 系统适配，对 win7 win11 不同的窗口样式适配
3 浏览器适配，对 Firefox 浏览器，Edge 浏览器，360 浏览器等进行适配

弹框好歹用 fixed 定位啊，滚动条一滚弹框也跟着滚下去了，瞬间暴露。

这个一下就识破了，现在浏览器不显示 EV 的绿标了……

确实有可能中招
点开之前已经知道是钓鱼网站了所以点开之后确实感到有一些异样，具体为：
edge 打开是 chrome ，我用的 dark mode 打开却是白色的，我用的 4k 屏肉眼可见右上角那个按钮跟我的浏览器的分辨率不太一样，一般登录的时候浏览器会自动帮我填充用户名密码但是这个窗口没有，这个窗口的质感跟浏览器新打开的窗口感觉不一样
如果不小心的话确实有可能会中招啊，先举报一波

话说，他们怎么拦截“https://steamcommunity.com/openid/login”这个域名的数据的？难道是自己套了一层 webview ？

@skiy 没拦截，那就是一个假的

<img width="500" alt="WeChatd888ae1691313793050da79b4cb7ee0a" src="https://user-images.githubusercontent.com/9513891/143729558-0a548921-6480-4ab3-a1a9-9f73e8c35c74.png">

挺有创意的，就是在 Mac 下面看着有点傻，要是在识别一下操作系统和浏览器估计能骗不少人。

@uni 现在弹窗已经可以根据浏览器变更标题了

@tbxark 费那劲干嘛，linux ，mac 用户少的可怜，而且比 win steam 用户防范心高那么多，不值得花精力去搞，win steam 用户足够他吃饱了。

刚遇上一个，也标记一下 challengermode[.]de[.]com
比较大的问题是语言是什么瘠薄，以及什么古老的 OV 绿锁。

最好用的是密码管理器

那个语言只能是简体中文. ，我还在想我都是英文怎么突然识别出中文了

钓鱼捞：挺好的，性感大佬在线教学。

这个弹窗笑死我了，UI 都不一样，只能骗骗 win10 吧

好家伙，得亏 https://steamcommunity.com/ 不开代理根本打不开，犹豫了看看，要不然真上当了

弹出的那层在非白色主题下太明显了，而且还会随滚动条滚动，第一次弹出来的时候直接被遮挡了一些，不过骗大多数人应该够了，第一次见这种钓鱼网站。钓鱼的不会看着这个贴不断改善吧

甚至分辨率都不统一 https://i.loli.net/2021/11/28/V6d4Y8pzAKOWDju.png

说起来，我随便输的用户名和密码，还能弹用户名或密码不正确。。。他后台还有去验证的步骤。。

像我这种一开窗口就想要最大化的，根本不会被骗

@lucays 没有验证 他把这句话元素隐藏了(style=display) 点击登录他就会显现

@Perry

@Pika666 我是只要没有谷歌自动登录，一概视为假网站

还好我从来不会记账号密码，google 不帮我自动登录的都不管。

被 spam404 规则给拦截了。。。打开白屏

这个网页弹窗真强, 你不说我还真以为是真的.

@Pika666 举报没啥用, 我举报了好几个盗卖资源的, 都好好的.

弹窗已经可以移动了，但是点击最大化窗口竟然显示了。但不是新开标签页还是一眼假

有意思，没看评论还真没发现弹窗是假的

这种盗号手法，已经烂大街了吧，以前有人偷盗 QQ 账号密码，也是这个逻辑。

2010 年，我 qq 就被这个手法给盗走了，当时 qq 绑定的地下城的游戏

好家伙，这做了个弹窗，还能识别我的 Firefox ，只可惜有的资源没加载出来是 x
技术力还挺高！

估计作者会 fix 一下，判断一下用户系统和浏览器，然后显示不同的弹出窗口界面。

最好的办法就是 steam 里收到的任何链接都当诈骗，99%不会错

另外楼主，去看看 api ，人家不一定是为了盗号，可能是盯上了你的饰品，要是 api 被人弄走了，下次从 Buff 卖东西的时候就有可能被骗

牛逼哈哈哈哈

我想要拥有这个作者的 后端 域名 服务器 PC Laptop Phone iPad

这弹窗……
win 11 没有圆角，哈哈哈哈。
最小化、最大化、关闭三个按钮的功能是 [一样的] ，哈哈哈哈。
窗口跟着页面滚动，哈哈哈哈。
窗口一拖就能选中，哈哈哈哈。
这地址栏好方啊……一点都不 Chrome ！
选择语言里面……居然没有英语！！！哈哈哈哈哈，是懒得翻译吗？其他语言也切换不了。

加载白屏是因为这是个 iframe ，点击右边“将与 XXX 共享唯一的数字标识符”的链接可以开始套娃，哈哈哈哈。

我咋打不开

牛逼, 页中页伪装成弹窗

一个小建议，分享钓鱼网站时，多强调几次是「钓鱼网站」。并适时（比如后续的附言中？）说明其中的原理，毕竟能上 V2EX 的钓鱼站都身怀绝技（看此贴留言中，有多少人「咋一看」中招的）。

这仿真度，以后见到弹窗至少要在弹出标题栏上点一下右键或者拖动看看能否跑出页面外才能确定了。

@Vtwoguest 没有，他是真的有转发 post 账号密码去官网验证的步骤，因为当时我真的登录了，还出现了找我要令牌验证码的弹窗，我输入以后提示了登录成功，然后网站就会直接用一个网络错误的遮罩隐藏所有内容，除非我清除 cookie 或者打开无痕模式。

这个网站连 FireFox 和 Chrome 都能做适配，也太强了

至少之前我都是看 chrome 的这个证书的

直到我换了 Mac + Firefox

不过这个真的是一个很好的教材,感谢楼主提醒.

@livid 这种帖子是不是可以给个权重,毕竟感觉这种骗术还是比较新颖的.

钓鱼穷处不见

这是我见过的做的最认真的诈骗网站，献上我由衷的敬意 /doge

这窗口真像啊，如果不是非全屏我就信了，分辨率不足的情况下网页出现了滚动条

正牌网站应该是
https://www.5eplay.com
https://www.5earena.com