Steam盗号产业链揭秘

Steam账号被盗已经成了高发事件,基本上每天都能在贴吧中看到几个因账号被盗而求助的玩家,我身边的不少同事、朋友也都中了招。有些人费尽力气找回了账号,可号上已经挂着红色的VAC或开发者封禁字样。

账号中出现VAC或开发者封禁后,不管这些违规行为是不是在账号被盗情况下发生的,封禁都无法申诉,也无法解除,会永久性地显示在玩家的个人资料页面中,不仅一些联网游戏玩不了,好友也没人加,基本上等于废了。有的人因此放弃了旧号建新号,但经常是新号没过几天又被盗走,重蹈覆辙。

这就是本文的主题,为什么盗号者如此猖獗,Steam盗号又怎么防范呢?要说明这些问题,首先要从Steam盗号这一现象的背后产业链谈起。

Clipboard Image.png

为什么要盗取Steam账号?

Steam账号的安全性一直被诟病,在2015年以前账号是没有任何保护措施的,只靠用户名和密码就能登录,当时因为黑客瞄准了《CSGO》和《Dota 2》的饰品库存,被盗号的案例数不胜数,直到Steam出台了“邮箱验证交易”以及“市场交易暂停7天”等措施后,盗号现象才有所收敛。随后,Steam又推出了“手机令牌验证市场交易”和“保护登录”等措施,即便如此,在2015年末Steam官方发布的声明中,还是提到了平均每个月有7.7万个账户被盗。

总的来说,在2017年之前,盗号者的首要目标都是《CSGO》和《Dota 2》的库存,同时也瞄准Steam余额,盗号者会用挂第三方网站的手段将余额和库存变现,谋求经济利益。

不幸中的万幸是,这种盗号一般都只让账号的原拥有者蒙受经济损失,一般情况下,盗号者也不会为了在游戏中享受作弊快感而去盗号,因为如果账户被VAC封禁,会导致这个账户中的虚拟财产无法交易,这对盗号者有百害而无一利。这个时期,盗号者和被盗对象主要都是外国人或外服玩家,因为相比后来的《绝地求生:大逃杀》,《CSGO》和《Dota 2》在中国区的热度只能说一般,中招者相对来说就不算多了。

Clipboard Image.png

事情在《绝地求生》走红之后出现了变化。2016年末,中国区Steam活跃账号数量为1150万,但伴随着《绝地求生》在中国区的畅销,活跃账号数量开始飙升,2017年7月已经达到2000万,2018年1月更是达到4000万,跃居世界首位。与此同时,盗号、黑号的数量开始疯狂增长,在短短半年之内,这个黑色产业形成了组织严密的产业链。

Clipboard Image.png

从2017年年中开始,盗号的风向开始转变,从倒卖账号里的财产变为和外挂绑定进行贩卖。也就是说,盗号者的目标是盗取游戏库中添加了《绝地求生》游戏的账号,尤其是没有手机令牌的弱密码账号,修改邮箱、手机等密保手段之后,捆绑上外挂,转手当做黑号,以低廉的价格卖掉,赚取利润。

这样,购买黑号的玩家既避免了开挂时自己的账号被封,又能以低廉的价格玩到价值98元的《绝地求生》,盗号者更是没有任何风险,怎么看都是双赢的交易。

Clipboard Image.png

所谓黑卡,玩手游的朋友们应该很熟悉,就是被盗刷的信用卡,因为从盗刷到信用卡公司或卡主发现并拒付这笔支出,一般会有1到3天的时间差,因此在这段时间内,通过盗刷购买的《绝地求生》还是可以正常游玩的,当然在这短短几天内,被盗账号往往就会因为开挂而被封。

从2017年12月开始,由于Steam社区在国内无法访问,给了很多盗号者新的可乘之机,因为国内新的“吃鸡”玩家大多不能方便地注册新账号,所以自然会寻求购买账号游玩。此外,开挂又被封号的人需要新账号继续开挂,许多人花不起98块但还想玩“吃鸡”,加之还有蓝洞误封等原因,导致国内黑号的市场需求源源不断,自然就造成了Steam盗号现象频繁发生。显然,在这一波盗号潮当中,也以国内盗号者盗取中国区账号的情况更为猖獗。

必须指出的是,Steam的运营目前并不受到国内法律的保护。如果对象是在国服的网络游戏,比如《魔兽世界》或《地下城与勇士》,都是不太可能有如此巨大的盗号市场的,因为一旦发现,很快就会被有关部门处理。相反,Steam的盗号者没有任何顾忌,也不会受到惩罚,所以这也同样促成了盗号行为的极度泛滥。

盗号者是如何盗取Steam账号的?

前面已经提到了,Steam账号的安全性十分薄弱,2015年以前,最常见的盗号方式是使用钓鱼链接。像流传甚广的“加一下我们领队,她会告诉你更多”这种“bot”发言,就是盗号机器人加好友之后群发消息,再给出一个钓鱼链接,诱导玩家输入自己的Steam账号和密码来完成盗号。当然,这种骗术一般都针对《CSGO》和《Dota 2》,也多数都是外国盗号者所为。

Clipboard Image.png

目前这类骗术仍旧存在,最常见的钓鱼链接主打“《绝地求生》老兵回归”——在腾讯官方出了“老兵回归”活动之后,这种钓鱼邮件层出不穷。其原理也是一样的,盗号者群发钓鱼邮件到QQ邮箱,诱骗用户输入Steam的账号和密码,甚至顺便还能把QQ号一并盗走。

以上这两种钓鱼都是比较基础的骗术,稍微有些网络经验的人都不会中招。

Clipboard Image.png

接下来是稍微复杂一些的手段,但也同样容易防范,这就是“挂马”。不法分子会通过外挂、加速器等软件传播盗号木马,挂马盗取的除了Steam账号之外,还有玩家电脑里的其他许多账号,危害很大。

防范恶意网站、恶意文件等挂马是比较容易的,尤其是在免费杀毒软件普及的今天,但有一个地方是没有杀毒软件防护,甚至是很容易被记录键盘数据的,那就是网吧。

如今网吧中Steam客户端被魔改的程度超乎常人想象,诸如“吃鸡”助手、“吃鸡”加速器、5元空号、1元租号之类的置入广告层出不穷。由于国内“吃鸡”玩家对新号的需求量极大,网吧Steam上展示的小广告自然而然地成了一些玩家的选择,这可能会是你迈向被盗号和买黑号的第一步。

Clipboard Image.png

要注意的是,Steam账号的最高权限属于初始邮箱,也就是说,光有账号和密码的人只是得到了使用权而已。许多用5元空号购买《绝地求生》的玩家经常会发现,自己的账号再也登不上去了,那是因为拥有初始邮箱的盗号者把密码改掉,转手再把这个买了“吃鸡”的账号卖出去,空手套白狼。

此外,如果你有自己的Steam账号,在没有杀毒软件保护的网吧里也会经常遇到诸如“键盘记录器”等恶意软件的侵害,一些魔改的Steam客户端也注入了许多恶意进程,Steam账号的安全仍然会受到很大威胁。

Clipboard Image.png

最后要说最有效的盗号手段——盗取邮箱。由于Steam账号的最高权限属于初始邮箱,无论之后如何更改邮箱和手机号,初始邮箱拥有者凭借初次购买的截图永远可以发起申诉,找回账号。这也意味着,如果邮箱被盗,盗号者可以绕过账号、密码,直接获得账号的所有权限,此时手机令牌也毫无作用。

通常,盗号者的操作神不知鬼不觉,他会将申诉以及解绑手机密码、更换邮箱等步骤的所有邮件都删掉,再将恢复账号的次数尝试到上限,这样,玩家就无法在12小时内快速恢复账号。玩家发现自己无法登录Steam时已经为时已晚,等到这12个小时过去,找回的账号多半早就因为开挂被封了。

至于盗号者是如何盗取邮箱的,最常见的方法是直接撞库。因为网易邮箱在2015年有一次大规模的数据库泄露事件,波及账号接近5亿个,很多盗号者直接用这些数据进行比对,盗取邮箱。此外,其余的国内邮箱也有不同程度的数据泄露,如果你恰好使用这些邮箱进行注册,且事后没有改过密码,那么很容易通过简单的比对就被盗号。

另外,目前针对单密码保护的邮箱,尤其是弱密码邮箱,暴力破解并非难事。当然也有盗号者会用泄露的数据库直接撞Steam账号,因而一些习惯用单个账号、密码的玩家就难免会中招。其次就是通过各种渠道挂木马,引导用户中病毒来盗窃账号,这种方法就不再赘述了。

Clipboard Image.png

总的来说,Steam账号本身安全措施就比较薄弱,手机令牌在关键时刻作用有限,也没有现代App常用的诸如手机验证码、扫描二维码或推送一键登录等功能。再加上很多用户对于Steam账号的权限和处理不甚明了,也没有查阅邮箱的习惯(甚至连邮箱推送都没有),无法在第一时间发现账号被盗,这些都给了盗号者可乘之机。

玩家如何防止被盗号?

明白了原理,接下来谈谈如何保护个人的Steam账号。对于较为简单的钓鱼网站和键盘记录等盗号手段而言,采用手机令牌还是有效的,它生成的动态密码可以有效地阻拦盗号者。但很多人因为怕麻烦,或不知道如何绑定Steam手机App,也就没有绑定令牌,甚至不知道手机上还有Steam客户端,就很容易导致账号被盗。目前使用Steam手机令牌的简便方法是使用网易UU加速器手机版,可以免费加速手机Steam客户端从而连上手机令牌。

Clipboard Image.png

对于邮箱密码的保护,目前最好的办法就是绑定相关的手机App安全中心。无论是网易、QQ还是新浪邮箱,都有对应的安全中心可以使用,采用扫二维码或者两步验证的方式,都可以有效地阻止异地以及新设备的访问,进而保护自己Steam账号的安全。更保险的方法是用境外邮箱,如Gmail等,注册Steam账号,可以有效避免邮箱被破解,但是如果已经使用了国内邮箱进行注册,也没必要强行换成境外邮箱地址。

Clipboard Image.png

由于很多人没有查阅邮件的习惯,为手机安装邮箱客户端并及时更新推送是十分有必要的,这样可以第一时间获知是否有异常邮件或异常登录出现,可以有效地将损失降到最低。

写在最后的话

综上所述,我们可以绘制出一幅Steam盗号过程的流程图(黑色部分为盗号者行为,红色部分为玩家行为):

Clipboard Image.png

不难看出,这条产业链不同于一般有头有尾的流程图,而是一种循环:只要黑号的市场需求持续存在,玩家又没有足够的账号保护意识,这个产业链就会永远地循环下去。由于Steam不受我国法律保护,盗号者也很难被追究法律责任,所以这条巨大的黑色产业链仍然会长时间地存活下去。

对于玩家来说,不仅需要了解Steam账号的安全措施,不让自己购买的游戏付之东流,也要拒绝Steam账号交易,因为这种交易不仅安全性低,且会损害其他玩家的利益。套用一句老话,“没有买卖,就没有杀害”,如果人人都不购买Steam账号,那么相关的黑色产业也会逐渐萎缩乃至消失。

目前,Steam社区在国内无法访问,如果你没有其他方法注册Steam账号,推荐使用Steamcommunity_302软件来进行设置,一键即可登入Steam社区进行注册。请牢记:Steam账号不需要付费,注册完全免费,购买游戏也不需要代充值,更不要把账号、密码交给他人。

如果自己的账号已经被盗,那么可以尝试用以下方式进行找回:

Clipboard Image.png

最后提醒各位,VAC和开发者封禁都是无法消除的,会永久以红色字体显示在个人的Steam页面上,所以请各位爱惜自己的Steam账号,也珍惜自己购买的每个游戏,不仅要注意保护自己的邮箱和Steam账号安全,也不要开挂和进行账号买卖。最后的最后,衷心希望大家能远离盗号,享受游戏。

作者:灰产特工

微博如何泄露隐私数据

3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”

随后,该网友在微博下的留言中进一步表示,他通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了,我昨晚查过。”(“来总”代指微博CEO 王高飞)

本文作者在19日下午亲自体验了一把泄露数据的灰产产品,已验证密码、个人敏感信息确实被暴露!虽然不确定是否是从微博暴露的,但是通过微博这一公开平台,可以微博ID查出手机号。从而通过手机号关联到更多密码、个人身份信息。

我们总结了一些内容,希望能让大家对个人隐私保护及密码管理产生警惕,也希望大家能按图索骥,查出背后团体的真凶。

概述

本次数据泄露据说是由微博而来,在小道消息的引导下,我们找到了购买隐私数据其中一个根据地:电报(Telegram),通过电报按图索骥、购买服务,摸清了灰产的整个服务架构。

交易流程概述

  • 加入电报
  • 找到售卖机器人
  • 机器人分享报价和交易方式
  • 选择交易
  • 机器人给出比特币/ETH数字货币地址
  • 打款后,机器人为电报账号充值积分
  • 利用积分查询

该系统是“积分机制”,即你通过数字货币为该灰产充值,则电报账号在灰产的账户中会多一些积分。使用积分可以查询各种服务:

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

作者亲测, 0.358  ETH = 260积分,10积分可以做一次普通查询,则相当于 0.0138 ETH一次,约等于10元一次

服务流程概述

  • 选择批量查询→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、密码 等信息
  • 选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括:绑定QQ、绑定手机、微博主页地址
  • 输入绑定QQ,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、QQ关联账号、QQ密码
  • 输入绑定手机,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机
  • 直接查询真实姓名:机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址
  • 直接查询身份证号:机器人输出身份证号和真实姓名

总结

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

这次的灰产产品有如下几个特征:

1、可信性极强:整个流程中,历史上被撞库的密码,通过身份证、真实姓名、邮箱、手机号、QQ号被关联,因此准确程度比以往的库都要强大一些

2、工具链齐全,人人可被查:本次引爆点是通过微博公开的OID查询到个人手机号和身份证,因此任何人都可以再通过手机号查询到他人密码,从而完成对任何人的资产攻击!下文将介绍实例。

3、自动化强:在流程中,灰产作者很好的利用了以下三个工具完成了身份匿名——

  • Telegram,匿名通讯
  • Telegram的自制机器人,完成自动交易
  • BTC/ETH等数字货币,且为每个用户单独生成地址,便于洗钱和反侦察

详述

交易详述

先在Telegram找到社工群

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

与电报机器人聊天

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

获取通过数字货币给机器人充值的地址:希望对执法分析有所帮助

https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76

充值成功

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据
揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

交易流程

贴吧/QQ/微博/LOL查绑(每次30-80分)

输入手机/贴吧ID/微博ID/QQ/LOL 互相查询对应绑定信息。

此灰产工具宣称自己是“全网独家数据”,外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。

支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。

微博ID就是微博用户主页后面的数字,有些用户是个性域名,可以进入主页右键查看源码,如下图oid即为微博ID。

比如:查名人微博

1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

2、根据李老师的OID,去查询具体信息

李老师的手机号、QQ号已经被查到了

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

可以看到,通过手机号查询得知,我已经暴露了自己的多个密码、真实姓名!

猎魔查询

猎魔查询即列表模糊查询,据该灰产宣称是“来自公安网的一种业务”,现在在机器人也可以查询了。

该功能旨在寻找知道姓名,性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据(以社会知名人士测试综合命中率已高达70%以上),

猎魔查询分为三种查询模式:模糊查询,精准查询,占位符查询

模糊查询

查询方式为输入真实姓名,根据提示点击按钮进行查询。输出结果后,可以选择性别/省份,这两个选项为必须项,不选择无法查询,也不会扣分。如果该省内重名少于50结果,将直接显示全部结果并扣费,如果命中人数过多,你需要继续选择年龄,月份。

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

精准查询

查询方式为输入真实姓名以及身份证内任意连续的数字,机器人出现猎魔查询按钮。点击按钮进行查询(查到结果扣分,未查到前不扣)

通过精准查询,灰产可以根据你的其他信息(出入地等),锁定个人身份,从而查出你的更多信息。

信息查询(每次1-10分)

大部分信息在这都可以查到,结果包含【密码查询】、【同密码】以及【贴吧绑定】,可以查询快递,开房,户籍,地址,身份证,手机,邮箱,账户,密码等等

  • 身份证自动提示归属地,年龄等信息
  • 手机号自动提示归属地&机主姓名
  • 地址自动匹配高精度定位结果
  • Hash自动破解成功率更高
  • 去掉只有一条结果的信息

通过连续的Join(关联),还可以查出来:

  • QQ/手机查名
  • 输入手机/QQ号码查询号主姓名
  • 群关系

隐私保护功能

这是最为搞笑的:一个售卖公民隐私数据的产品,居然还主打“隐私功能”!!

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

你花钱使用了屏蔽功能后,本功能会匿名存储该关键字, 非删除数据。屏蔽功能仅支持在本机器人中隐藏私人账户,屏蔽后任何人都无法查询。屏蔽后仍会模拟正常查询流程,其他人无法察觉已被屏蔽,正因如此,由于群关系随处可查,故群关系数据不在屏蔽列表中。

总结

  • 我们相信目前所有互联网服务,基于目前中心化的架构,出现数据泄露问题是必然的,是个概率性事件。
  • 充耳不闻并不管用,你的账号还在,不说明你的安全做的好,只能说对黑客还没有价值——因为很多已经暴露的信息永远暴露了,且可通过关联技术指数级增强确定性!
  • 废话少说,大家都去改密码吧!

作者:Marvin