玩遊戲也會被騙?Steam爭氣卡假網購、遊戲帳號異常釣魚、代購詐騙樣樣來
隨著疫情期間大家玩遊戲的時間變多,遊戲平台Steam、Twitch跟著崛起,也讓詐騙集團開始盯上這個商機,假冒遊戲平台或是推出「代購」的優惠方案,想方設法地從用戶手上騙取個資、帳密、財物等。近期我們發現一個販售「Steam爭氣卡」的詐騙網站,如果你也發現這些特徵,請務必小心!
遊戲平台Steam常見詐騙手法
一、Steam爭氣卡網購詐騙
近期我們發現有假的爭氣卡購物網站出沒,這個假爭氣卡網站是「hxxps://virtualpoints[.]live/Home/Steam」
這個網站稱付款方式是綁定「遠傳電信」,會隨著帳單扣款
當我隨意按下一個商品購買,他會要求我提供email和電話號碼,以供扣款和領取爭氣卡,這裡要小心的是你提供的信箱和電話,有可能會被賣到暗網,萬一真的被賣掉,有高機率你會常常收到詐騙簡訊、電話或是郵件,讓你暴露在高風險中
最後填入信箱和電話後,你就會被帶到遠傳的頁面,要求你輸入身分證字號或是密碼
這個遠傳網站是真的!是真的!是真的!這是一種小額付款詐騙。
當你真的登入成功,你將來的電話帳單是真的會被扣款(即便你沒有拿到Steam爭氣卡),而且這種100左右的扣款,有時會讓人沒有注意到,或是因為金額小就懶得管他,而默默的一直被吸血。
如何避免「假Steam爭氣卡網購」
1. 粗糙的網頁設計
現在已經有很多網購詐騙做得很精美,但上述案例就是一個不夠細緻的案例,像是在訂購時,「步驟1」是使用阿拉伯數字1,而「步驟二」則是使用國字二,雖然這不影響閱讀,但通常認真經營的網站不太會出現這樣的問題。
2. 使用趨勢科技防詐達人
你可以將購物網站連結傳送給防詐達人,一秒辨識是不是不安全網站
二、假Steam登入頁面
有好多的知名品牌、賣場,都曾經被假冒過,並幾乎都是將用戶導到登入頁面,試圖騙取用戶的帳號密碼,包含Costco、家樂福、Line都是受害者,遊戲平台Steam當然也不例外。
Reddit上就有網友發現一個新型態的釣魚手法,是透過Steam的好友傳送邀請!
據受害者所述,Steam好友詢問他是否可以投票給他的團隊,而投票需要到Steam OAuth登入(到目前為止看似都還正常)
但當網友在Steam OAuth按下「透過Steam登入」後,畫面跳出登入視窗,如下圖
這個假視窗不管 UI 元素或是各種圖示都和真正的 Steam 登入視窗相同,讓你誤以為正在使用官方的登入頁面,但⚠️這是「假登入頁面」!!
更糟糕的一點是,如果你原本就有啟動雙重驗證機制(2FA),它會要求你在手機上接收 2FA 代碼,當你安心的輸入後,你驗證的其實是攻擊者的設備,而你本人將會被鎖在帳號外動彈不得。
如何辨識「假Steam 登入頁」?
1. 你以為的跳出視窗其實不是真的「新視窗」
有眼尖的網友發現,跳出的視窗其實不是真的網頁,而是以 CSS 在目前網站上面加上一層,因此當你試圖想要移動這個跳出的視窗時,你會發現拖曳不了!
另外一個你其實還在原網頁的證據是,當你滑動滾輪,這個視窗居然跟著動了!
2. 粗糙的網頁設計
這裡有很多徵兆你都可以檢查看看
- 壞掉的按鈕:可能會有一些按鈕按下去沒有反應,或是任何按鈕都帶你到一樣的地方,例如首頁或是登入頁面。尤其可以檢查一下網頁邊邊角角的按鈕,那是最容易被詐騙集團忽略的地方。
- 畫質很差的照片/icon
- 文法/用字錯誤:在美國版網頁上,有很多釣魚訊息最明顯的錯誤就是單字拼錯或是有很多文法上不通順的地方,而台灣的各種詐騙網站都會犯的通病也是出現「簡體字」或是出現非台灣的用語。
3. 檢查網址
網域只能模仿,但無法一模一樣,因此在任何登入頁面都可以多看一下「網域」是不是正確的,以及看看他是否有SSL憑證,什麼是SSL憑證?
SSL憑證是用來看網址是否有經過網頁加密,最簡單的方式是看網址的開頭是http還是https,如果是https就表示有SSL憑證,如果沒有就只會是http。如果你是用電腦開啟,在網址的部分就會直接顯示“安全”或是“不安全”。
舉例來說,家樂福的假網站就是沒有「SSL憑證」
或是你也可以將網址直接傳給防詐達人,讓防詐達人幫你找碴,我們馬上就會告訴你這個網站是否安全囉!
三、代購/合購詐騙
代購詐騙出現在很多知名的平台,像是Disney代購詐騙就是聲稱可以透過別的國家的售價低價購買,或是有些具有家庭方案的平台,像是Netflix、Spotify也曾經出現有不肖份子假揪團真詐財。
網路上可以買到的商品比你想像的多更多,許多虛擬的服務都深受歡迎,例如以下幾個類別:
熱門代購第一類、帳號
影音平台:Disney+、YouTube Premium、Netflix、Spotify……
成人網站:Pornhub……
交友軟體:JustDating……
遊戲平台:Nintendo Switch Online
熱門代購第二類、序號
作業系統:Microsoft Office、Windows作業系統
線上遊戲:Steam隨機遊戲、Minecraft、動物森友會……
熱門網購第三類、 代收/代儲值服務
淘寶、支付寶……
私下與陌生人代購/合購有風險,有可能你付款了卻沒收到貨也找不到賣家,或是為了讓人代儲值而帳號外洩,甚至有違法的可能。
提醒民眾PTT、Facebook、LINE都不是正規的購物平台,私下交易容易有風險,請直接透過官網等正當的管道購物。
另外還有民眾是遇到陌生人說願意高價跟他買一張Steam點數卡,結果用戶一買完把序號傳給對方,對方就從此消失,傳說中的高價完全沒收到。
Q: 如果你已經買了禮物卡,但你還沒提供序號給對方?
A: 將禮物卡攜回原購買店家辦理退貨。 店家可以掃描卡片,查看能不能退貨。 已啟用但尚未兌換的 Steam 錢包禮物卡店家通常會同意退貨。
Q: 如果你已經買完也把序號給對方了
A: 持禮物卡與購買收據向附近的派出所報案
全方位防詐騙工具包:
學習更多防詐小撇步:防詐達人部落格
- 了解防詐達人:防詐達人官方網站
- 一秒辨識詐騙網站:防詐達人聊天機器人
- 和大家一起討論詐騙:防詐達人-全民反詐騙通報中心
