Steam 玩家注意囉!擁有全球最多玩家的 Steam 遊戲平台向來是駭客的攻擊目標,近日國外網路資安組織 CERT-GIB 發現有一種新的「browser-in-the-browser 瀏覽器中的瀏覽器」網路釣魚技術,利用偽造的 SSL 憑證騙取玩家信任輸入個人帳號資訊, 進而竊取玩家個資。
據報導,「browser-in-the-browser 瀏覽器中的瀏覽器」是網路資安研究員 mr.d0x 發現,駭客先設計出《CS:GO》、《PUBG》等遊戲網頁,這些遊戲網頁是安全無虞的,一但玩家要點擊登入遊戲帳號時,外表看似正常的彈出式帳號登入視窗就是駭客竊取資料最重要的關鍵。
這個彈出式帳號登入視窗就是「瀏覽器中的瀏覽器」,它從一開始先讓玩家相信自己瀏覽的網頁是安全合法的,但網頁裡的彈出式瀏覽器卻是假的,而且能偽造 SSL 憑證,讓玩家分不出威脅。
只要玩家在彈出式帳號登入視窗輸入自己的帳號資料,資料就會被竊取。這種網路釣魚手法不僅適用 Steam ,也能應用在 Google、Facebook、Instagram、Twitter …等平台。
因此呼籲玩家們除了不要點擊來自不信任來源的網頁連結之外,當收到訊息、電子郵件或任何彈出式視窗都需要仔細過濾,才不會掉入網路釣魚陷阱裡,造成自己的損失。
《原文刊登於合作媒體三嘻行動哇,聯合新聞網獲授權轉載。》