วิธีสังเกตเว็บไซต์แลกเปลี่ยน Steam และลิงก์หลอกลวงปลอม

รากฐานของการขโมยไอเท็มในคลัง Steam เกือบทุกครั้งคือการฟิชชิ่ง ก่อนที่แฮกเกอร์จะสามารถยึดคีย์ API ของคุณหรือล้างบัญชีของคุณได้ พวกเขาต้องได้ข้อมูลเข้าสู่ระบบของคุณมาก่อน เพื่อให้ได้มา พวกเขาพึ่งพาการสร้างเว็บไซต์ปลอมที่น่าเชื่อถืออย่างยิ่งเพื่อหลอกให้คุณเข้าสู่ระบบ

ในปี 2026 การสร้างเว็บไซต์เลียนแบบหน้าเข้าสู่ระบบของ Steam หรือตลาดนัดของบุคคลที่สามยอดนิยมให้เหมือนจริงทุกพิกเซล ใช้เวลาเพียงไม่กี่นาทีสำหรับแฮกเกอร์ การออกแบบภาพของเว็บไซต์ไม่ใช่ตัวบ่งชี้ความน่าเชื่อถืออีกต่อไป คุณต้องมองให้ลึกลงไป

นี่คือวิธีระบุเว็บไซต์ Steam ปลอมและลิงก์ฟิชชิ่งอย่างแม่นยำ ก่อนที่จะสายเกินไป

องค์ประกอบของเว็บไซต์ฟิชชิ่ง

เว็บไซต์ฟิชชิ่งมีอยู่ด้วยเหตุผลเดียว: เพื่อนำเสนอปุ่ม "เข้าสู่ระบบผ่าน Steam" ปลอมให้คุณ

เมื่อคุณคลิกปุ่มเข้าสู่ระบบ Steam ที่ถูกต้องบนเว็บไซต์ของบุคคลที่สามจริง คุณจะถูกเปลี่ยนเส้นทางไปยัง steamcommunity.com เพื่อยืนยันตัวตนอย่างปลอดภัย เว็บไซต์ของบุคคลที่สามจะไม่เห็นรหัสผ่านของคุณ

บนเว็บไซต์ฟิชชิ่ง ปุ่ม "เข้าสู่ระบบ" จะเปิดหน้าต่างป๊อปอัพที่ ดูเหมือน หน้าเข้าสู่ระบบ Steam อย่างไรก็ตาม มันคืออินเทอร์เฟซปลอมที่ออกแบบมาเพื่อจับข้อมูลชื่อผู้ใช้ รหัสผ่าน และรหัสยืนยันตัวตนบนมือถือที่คุณพิมพ์ลงไป และส่งตรงไปให้แฮกเกอร์

1. URL คือสิ่งสำคัญที่สุด (Typo-squatting)

กลวิธีที่พบบ่อยที่สุดคือ "typo-squatting" — การจดทะเบียนชื่อโดเมนที่ดูเกือบจะเหมือนกับของจริงทุกประการ สมองของมนุษย์มักจะอ่านผ่านๆ ไป โดยมองจากรูปร่างโดยรวมมากกว่าที่จะอ่านตัวอักษรทีละตัว ทำให้วิธีนี้ได้ผลสูง

ตัวอย่าง URL ปลอม:

• steamcommmunity.com (มี 'm' สามตัว)
• stearncommunity.com (ตัว 'r' และ 'n' ดูคล้าย 'm')
• steam-community.com (มีการเพิ่มขีดกลาง)
• skinport-market.com (มีการเติมคำเข้าไปในแบรนด์จริง)
• csfloat.io (โดเมนระดับบนผิด; เว็บไซต์จริงคือ .com)

วิธีป้องกัน:

• อย่าคลิกลิงก์ที่ส่งมาจากคนแปลกหน้า ไม่ว่าจะในแชท Steam, Discord หรือความคิดเห็นในบล็อก จงปฏิบัติต่อลิงก์ที่ไม่ได้รับเชิญเสมือนเป็นศัตรู
• อ่าน URL ทีละตัวอักษร ก่อนจะป้อนข้อมูลประจำตัวของคุณที่ใดก็ตาม หยุดและอ่านแถบที่อยู่อย่างละเอียด
• ใช้ที่คั่นหน้า วิธีที่ปลอดภัยที่สุดในการไปยังตลาดหรือเว็บไซต์การพนันที่คุณใช้บ่อยๆ คือการตั้งที่คั่นหน้าไว้ด้วยตัวเอง

2. การทดสอบ "ป๊อปอัปลวง" (การทดสอบด้วยการลาก)

นี่เป็นวิธีที่เชื่อถือได้ที่สุดในการเปิดโปงหน้าต่างเข้าสู่ระบบ Steam ปลอม

เมื่อคุณคลิก "Sign in with Steam" บนเว็บไซต์ที่ถูกต้องตามกฎหมาย มันจะเปิด หน้าต่างเบราว์เซอร์แท้จริง ขึ้นมาใหม่ เนื่องจากมันเป็นหน้าต่างจริงที่ระบบปฏิบัติการของคุณสร้างขึ้น มันจึงมีคุณสมบัติบางอย่าง

อย่างไรก็ตาม นักต้มตุ๋นไม่สามารถบังคับให้เบราว์เซอร์ของคุณเปิดหน้าต่างจริงไปยังเว็บไซต์ปลอมของพวกเขาได้ โดยที่แถบ URL จะไม่เผยให้เห็นความผิดปกติ แทนที่จะทำเช่นนั้น พวกเขาใช้ HTML และ CSS เพื่อวาด "หน้าต่าง" ปลอม ภายใน เว็บเพจที่คุณกำลังดูอยู่ มันดูเหมือนป๊อปอัป แต่จริงๆ แล้วมันเป็นเพียงกราฟิกบนหน้าเว็บ

การทดสอบ: เมื่อป๊อปอัปเข้าสู่ระบบ Steam ปรากฏขึ้น ให้ลองคลิกและลากแถบชื่อด้านบนของหน้าต่างป๊อปอัป ออกไปนอก ขอบเขตของหน้าต่างเบราว์เซอร์หลักของคุณ (เช่น ลากมันไปไว้บนพื้นหลังเดสก์ท็อป)

• ถ้ามันเป็นของจริง: หน้าต่างจะเคลื่อนย้ายได้อย่างอิสระออกไปนอกกรอบเบราว์เซอร์หลัก เนื่องจากมันเป็นหน้าต่างแยกต่างหากที่เป็นอิสระและถูกควบคุมโดยระบบปฏิบัติการของคุณ
• ถ้ามันเป็นของปลอม: หน้าต่างจะ "ติดขัด" ที่ขอบของหน้าต่างเบราว์เซอร์หลักและจะหายไปถ้าคุณลากมันออกไปไกลเกินไป มันไม่สามารถออกจากหน้าเว็บที่มันถูกวาดอยู่ได้

หมายเหตุ: นักฟิชชิ่งที่ทันสมัยและซับซ้อนบางคนพยายามเปิดหน้าต่างใหม่จริงๆ แต่พวกเขาจะซ่อนแถบ URL หรือใช้การปลอมแปลง URL ที่ซับซ้อนมาก ควรใช้การทดสอบด้วยการลากควบคู่ไปกับการตรวจสอบ URL เสมอ

3. อย่าไว้ใจรูปแม่กุญแจ (ใบรับรอง SSL)

เมื่อหลายปีก่อน ผู้ใช้ถูกสอนให้ "มองหารูปแม่กุญแจ" ในแถบที่อยู่ของเบราว์เซอร์เพื่อให้แน่ใจว่าเว็บไซต์นั้นปลอดภัย คำแนะนำนี้ล้าสมัยอย่างอันตรายแล้ว

รูปแม่กุญแจหมายความเพียงว่า การเชื่อมต่อระหว่างคุณกับเว็บไซต์นั้นถูกเข้ารหัส (HTTPS) มันหมายความว่าไม่มีใครสามารถดักจับข้อมูลระหว่างทางได้ มันไม่ได้หมายความว่าเว็บไซต์นั้นถูกต้องตามกฎหมายหรือปลอดภัยแต่อย่างใด

นักต้มตุ๋นสามารถขอรับใบรับรอง SSL สำหรับโดเมนปลอมที่สะกดคล้ายโดเมนจริงได้อย่างง่ายดายและฟรี เว็บไซต์ฟิชชิ่งเกือบทั้งหมดจะมีรูปแม่กุญแจ

วิธีป้องกัน: เข้าใจว่า HTTPS (รูปแม่กุญแจ) เป็นสิ่งจำเป็นสำหรับเว็บไซต์ที่จะปลอดภัย แต่มันไม่ใช่หลักฐานว่าเว็บไซต์นั้นซื่อสัตย์ มันแค่หมายความว่าคุณกำลังส่งรหัสผ่านของคุณให้กับนักต้มตุ๋นอย่างปลอดภัยโดยตรง

4. การตรวจสอบ "เข้าสู่ระบบอยู่แล้ว"

หากคุณเข้าสู่ระบบ Steam ไว้แล้วในเว็บเบราว์เซอร์หลักของคุณ (เช่น Chrome หรือ Firefox) หน้าต่างเข้าสู่ระบบ Steam อย่างเป็นทางการบนเว็บไซต์บุคคลที่สามควรจะรับรู้สถานะนี้

เมื่อคุณคลิก "Sign in through Steam" บนเว็บไซต์ที่ถูกต้องตามกฎหมาย มันควรจะแสดงรูปโปรไฟล์ของคุณโดยอัตโนมัติและแค่ขอให้คุณ "Sign In" ด้วยคลิกเดียว โดยไม่จำเป็นต้องให้คุณกรอกชื่อผู้ใช้ รหัสผ่าน หรือรหัส Steam Guard ใหม่อีกครั้ง

การทดสอบ: หากคุณรู้ว่าคุณเข้าสู่ระบบ steamcommunity.com ไว้ในเบราว์เซอร์ของคุณแล้ว แต่หน้าต่างป๊อปอัปเข้าสู่ระบบ Steam ของเว็บไซต์บุคคลที่สามกลับขอให้คุณพิมพ์ชื่อผู้ใช้ รหัสผ่าน และรหัส Steam Guard ใหม่อีกครั้งด้วยตัวเอง มันเกือบจะแน่นอนว่าเป็นเว็บไซต์ฟิชชิ่ง ให้ปิดมันทันที

ตรวจสอบความปลอดภัยก่อนเข้าสู่ระบบ

1. ฉันเข้ามายังเว็บไซต์นี้ผ่านที่คั่นหน้าที่น่าเชื่อถือหรือการค้นหาของ Google หรือคลิกลิงก์ที่ถูกส่งมาให้? (หากเป็นลิงก์ที่ถูกส่งมา ให้ระวังเป็นพิเศษ)
2. ฉันได้ตรวจสอบ URL อย่างละเอียดเพื่อให้แน่ใจว่าสะกดถูกต้องสมบูรณ์แบบหรือไม่?
3. ฉันสามารถลากป็อปอัปเข้าสู่ระบบออกนอกหน้าต่างเบราว์เซอร์หลักได้หรือไม่?
4. หากฉันเข้าสู่ระบบ Steam ไว้ในเบราว์เซอร์นี้แล้ว มันบังคับให้ฉันพิมพ์รหัสผ่านอีกครั้งหรือไม่?

จงตื่นตัวอยู่เสมอ ชั่วขณะที่คุณพิมพ์ข้อมูลประจำตัวลงในช่องที่ไม่ถูกต้อง นักต้มตุ๋นก็ชนะแล้ว