近期Steam特卖活动的安全问题值得用户关注的总结

发布时间：2024-02-15 09:11:59 来源:丰图软件园

为何写此文：近来几天（尤其是赶上Steam特卖），俺身边有数人Steam账号被盗。损失有大有小，有的是被恶搞（例如修改设置），有的是恶意利用（资金问题、修改库存、用于CSGO作弊等），也并非所有人都找回了自己的账号。俺作为业余社工爱好者，也盗取了数个账号。进行了些微小的恶意操作，然而多数账号合法所有者未能发现账号被盗，即便开启了手机令牌。这也说明了俺完全可以恶意利用他们的账号。因此进行总结。

1、Steam令牌问题。Steam令牌可以选择是否开启。开启状态可以选择邮箱验证和手机验证。如果没有设置令牌，意味着只需要密码就可以登陆。如果设置邮箱令牌，获取邮箱验证码即可登陆。如果设置手机令牌，获取当前的令牌或者点击确认可以登陆。无论如何，都应该开启令牌。按照需求，邮箱令牌较为方便，手机令牌较为安全（一般情况）。

2、密码问题。俺成功登陆的账号中（未开启令牌），有1个账号的密码和用户名高度相似。有1个账号的密码和账号合法所有者真实身份有关（名字缩写、出生时间）。Steam对密码有复杂度要求，但是并非有了复杂度就难以猜测。

3、邮箱问题。多个账号邮箱密码过于简单，甚至比Steam密码本身简单。如果邮箱对攻击者敞开大门，那么令牌验证将没有用。

4、邮件问题。Steam在新设备登陆或者重要信息修改后，会发送邮件。如果邮箱能够被轻易控制，攻击者完全可以删除提醒邮件。如果攻击者未能控制邮箱或未删除相关邮件，账号合法所有者不去查看邮件等同于赠送账号。

5、客服问题。Steam客服可以查看登陆设备、重要信息修改。应当及时查看。

6、社工问题。手机令牌码不可以随意发送给他人，即使实效很快，攻击者通常都准备好了，就差输入令牌。登陆确认不可以随意点击，需要仔细和对。（令牌验证码直接发给俺的是怎么想的）

========

我担心上述问题，要怎么办？

1、修改密码

2、踢出登陆设备

3、检查客服、邮箱

这只是实际要作的。至于“陌生链接不乱点”这种国家反诈中心都知道的正确的废话，始终应当记住。