QR Code ฟิชชิ่ง (Streamjacking): ภัยคุกคามล่าสุดต่อบัญชี Steam
ป้องกันการฉ้อโกง

QR Code ฟิชชิ่ง (Streamjacking): ภัยคุกคามล่าสุดต่อบัญชี Steam

H
ผู้เขียนHammer Rolland

เป็นเวลาหลายปี คำแนะนำมาตรฐานสำหรับความปลอดภัยของ Steam นั้นเรียบง่าย: "อย่าให้รหัสผ่านของคุณ และอย่าให้รหัสยืนยันตัวตนจากแอปมือถือของคุณ" แม้จะเป็นจริงอยู่ แต่เหล่ามิจฉาชีพได้พบวิธีที่เรียบง่ายจนน่ากลัวในการข้ามขั้นตอนทั้งสองนี้ไปพร้อมกัน โดยใช้ฟีเจอร์ที่ออกแบบมาเพื่อความสะดวก: ฟังก์ชันสแกนคิวอาร์โค้ดในแอป Steam Mobile

วิธีการนี้ ซึ่งมักถูกเรียกว่า "Streamjacking" หรือ "QR Phishing" ได้กลายเป็นที่แพร่หลายอย่างมากในชุมชน CS2 นี่คือรายละเอียดว่ามันทำงานอย่างไรและทำไมคุณต้องไม่สแกนคิวอาร์โค้ดแปลกปลอมด้วยแอป Steam ของคุณ

จุดบกพร่องในความสะดวก

เมื่อคุณเข้าสู่ระบบ Steam บนคอมพิวเตอร์เครื่องใหม่ คุณมีตัวเลือกที่จะสแกนคิวอาร์โค้ดที่แสดงบนหน้าจอโดยใช้แอป Steam Mobile ของคุณ นี่เป็นฟีเจอร์ความสะดวกที่ยอดเยี่ยม มันจะโอนย้ายเซสชันการยืนยันตัวตนของคุณจากโทรศัพท์ไปยังคอมพิวเตอร์อย่างปลอดภัย โดยที่คุณไม่จำเป็นต้องพิมพ์รหัสผ่านหรือรหัสยืนยันสองขั้นตอน (2FA)

อย่างไรก็ตาม ฟีเจอร์นี้ตั้งสมมติฐานว่าหน้าจอที่แสดงคิวอาร์โค้ดนั้นคือหน้าจอ ของคุณ มิจฉาชีพใช้ประโยชน์จากสมมติฐานนี้

หากคุณสแกนคิวอาร์โค้ดที่สร้างขึ้นโดยคอมพิวเตอร์ของมิจฉาชีพ คุณกำลังให้สิทธิ์การเข้าถึง Steam บัญชีของคุณแบบเต็มรูปแบบและผ่านการยืนยันตัวตนแล้วแก่คอมพิวเตอร์ของพวกเขาในทันที

เหตุการณ์หลอกลวงดำเนินไปอย่างไร

การหลอกลวงนี้พึ่งพาความเร่งด่วน ความโลภ และภาพลวงตาของความถูกต้องตามกฎหมายเป็นอย่างมาก โดยมักจะเกิดขึ้นบนแพลตฟอร์มสตรีมมิ่งเช่น Twitch หรือ YouTube

1. สตรีมปลอม (เหยื่อล่อ)

พวกหลอกลวงจะตั้งค่าสตรีมสดบน Twitch หรือ YouTube เพื่อให้ดูน่าเชื่อถือ พวกเขาจะ:

  • ใช้ชื่อและแบรนด์ของโปรเพลย์เยอร์ชื่อดัง (เช่น s1mple, m0NESY) หรือผู้จัดทัวร์นาเมนต์ใหญ่ (เช่น ESL, PGL)
  • ถ่ายทอดซ้ำ VOD (วิดีโอตามคำขอ) เก่าที่มีคนดูสูงของผู้เล่นหรือทัวร์นาเมนต์นั้น เพื่อให้สตรีมดูมีผู้ชมและเป็นที่นิยม
  • ใช้บอตเพิ่มยอดวิวเพื่อปั่นจำนวนผู้ชมให้สูงขึ้นเป็นหลายพันคน ผลักดันสตรีมปลอมให้ขึ้นไปอยู่ในอันดับต้นๆ ของหมวด CS2

2. เหยื่อล่อ (เบ็ดตกปลา)

บนภาพวิดีโอเกมที่ถูกขโมยมาจะมีกราฟิกขนาดใหญ่ประกาศเกี่ยวกับการแจกของรางวัล โดยจะเขียนประมาณว่า:

  • "!DROP - สแกนเพื่อรับมีดฟรี"
  • "รางวัลสำหรับผู้ชม ESL MAJOR - สแกน QR เพื่อเชื่อมต่อบัญชี"
  • "การแจกรางวัลอำลา S1MPLE - สแกนเพื่อเข้าร่วม"

ข้างๆ ข้อความจะมีรหัส QR ขนาดใหญ่และชัดเจน

3. การลงมือ (กับดัก)

การหลอกลวงอาศัยการที่คุณรีบตัดสินใจก่อนคิด

  1. คุณเชื่อว่ากำลังดูสตรีมอย่างเป็นทางการและต้องการสกินฟรี คุณจึงเปิดแอป Steam บนมือถือ
  2. คุณเปิดเครื่องมือสแกน QR Code ในแอปและเล็งไปที่หน้าจอของคุณ
  3. แอป Steam จะขอให้คุณยืนยันการเข้าสู่ระบบ เนื่องจากคุณคิดว่ากำลัง "เชื่อมต่อ" บัญชีของคุณกับสตรีมเพื่อรับของรางวัล คุณจึงคลิก "ยืนยัน"

ความจริง: รหัส QR บนสตรีมถูกสร้างขึ้นแบบไดนามิกโดยสคริปต์เข้าสู่ระบบอัตโนมัติของพวกหลอกลวงบนเซิร์ฟเวอร์ของพวกเขา เมื่อคุณคลิกยืนยัน คุณไม่ได้เชื่อมต่อบัญชีกับการแจกรางวัล แต่คุณได้อนุญาตให้เซิร์ฟเวอร์ของพวกหลอกลวงเข้าสู่ระบบบัญชี Steam ของคุณแทน

4. หลังเหตุการณ์

เนื่องจากการใช้วิธีการเข้าสู่ระบบด้วย QR Code ผู้หลอกลวงจึงสามารถข้ามผ่านรหัสผ่านและรหัสยืนยันสองขั้นตอน (2FA) แบบปกติของคุณไปได้ พวกเขาจะได้เซสชันที่เข้าสู่ระบบและได้รับการรับรองความถูกต้องแล้ว ภายในไม่กี่วินาที สคริปต์อัตโนมัติจะกวาดล้างไอเทมที่สามารถแลกเปลี่ยนได้ทั้งหมดในบัญชีของคุณ และส่งต่อผ่านเครือข่ายของบัญชีรับของ

วิธีป้องกันตัวเอง

การป้องกันตัวเองจากกลลวงนี้ ต้องอาศัยการเปลี่ยนนิสัยอย่างเคร่งครัดเกี่ยวกับการใช้แอป Steam บนมือถือ

  • กฎทองสำหรับ QR Code: ฟังก์ชันสแกน QR Code ในแอป Steam บนมือถือของคุณมี จุดประสงค์เดียวเท่านั้น คือใช้สำหรับเข้าสู่ระบบซอฟต์แวร์ Steam Client อย่างเป็นทางการหรือเว็บไซต์ steamcommunity.com อย่างเป็นทางการ บนหน้าจอจริง ที่คุณควบคุมอยู่
  • อย่าสแกน QR Code จากวิดีโอ, สตรีม, ข้อความใน Discord, หรือเว็บไซต์ภายนอกเป็นอันขาด
  • การดรอปอย่างเป็นทางการไม่ได้ทำงานแบบนี้ การดรอปจากทัวร์นาเมนต์ที่ถูกต้องตามกฎหมายหรือการเชื่อมต่อกับแพลตฟอร์มอื่น (เช่น การเชื่อม Steam กับ Twitch) จะดำเนินการผ่านการเชื่อมโยง API OAuth ที่ปลอดภัย (โดยการคลิกปุ่มที่นำคุณไปยังหน้าเข้าสู่ระบบที่ปลอดภัยของ Steam) ไม่ใช่ผ่านการสแกน QR Code จากฟีดวิดีโอ
  • ตรวจสอบสตรีม: หากสตรีมใดอ้างว่าเป็นผู้เล่นชื่อดังกำลังแจกไอเทม ให้ตรวจสอบชื่อช่องอย่างละเอียด ช่องปลอมมักมีตัวสะกดผิดเล็กน้อยหรือไม่มีเครื่องหมาย "Verified" (ยืนยันตัวตนแล้ว) อย่างเป็นทางการที่พบได้ในแพลตฟอร์มที่ถูกต้องตามกฎหมาย

ความสะดวกสบายของการเข้าสู่ระบบด้วย QR Code นั้นยอดเยี่ยมสำหรับอุปกรณ์ของคุณเอง แต่มันคืออาวุธที่พร้อมยิงหากคุณเล็งมันไปที่หน้าจอที่ไม่ถูกต้อง จงใช้ความระมัดระวังอย่างสูงสุดกับเครื่องมือสแกน QR Code ของ Steam เช่นเดียวกับที่คุณจะระวังเมื่อต้องส่งมอบโทรศัพท์มือถือจริงๆ ให้กับคนแปลกหน้า

แท็ก:#scam#steam

บทความที่เกี่ยวข้อง

ป้องกันการหลอกลวงใน CS2: ทุกประเภทการหลอกลวงและวิธีป้องกันตัวเองให้ปลอดภัย
คู่มือ

ป้องกันการหลอกลวงใน CS2: ทุกประเภทการหลอกลวงและวิธีป้องกันตัวเองให้ปลอดภัย

รู้จักทุกกลโกงใน CS2 และวิธีป้องกันตัวเอง คู่มือเทรดเดอร์ขั้นสุดนี้ช่วยให้คุณจับตาดูกลลวงได้แต่ไกล เพื่อปกป้องสกินล้ำค่าของคุณอย่าง Fire Serpent และ Howl

การหลอกลวงสลับไอเท็มใน CS2: อย่ากระพริบตาเมื่ออยู่ในหน้าต่างแลกเปลี่ยน
ป้องกันการฉ้อโกง

การหลอกลวงสลับไอเท็มใน CS2: อย่ากระพริบตาเมื่ออยู่ในหน้าต่างแลกเปลี่ยน

วินาทีที่เผลออาจทำให้คุณเสียมีดไปได้ เรียนรู้วิธีหลอกลวงแบบ "สลับไอเทม" ใน CS2 และวิธีป้องกันไม่ให้ตกเป็นเหยื่อ

หลอกลวงแอดมินปลอม: ทำไม Valve จะไม่ขอไอเทมของคุณ
ป้องกันการฉ้อโกง

หลอกลวงแอดมินปลอม: ทำไม Valve จะไม่ขอไอเทมของคุณ

มิจฉาชีพปลอมตัวเป็นฝ่ายสนับสนุน Steam, ผู้ดูแล Faceit และกรรมการทัวร์นาเมนต์ เพื่อขโมยไอเท็มในคลังของคุณ เรียนรู้วิธีสังเกตผู้มีอำนาจปลอม

QR Code ฟิชชิ่ง (Streamjacking): ภัยคุกคามล่าสุดต่อบัญชี Steam | TAKE.SKIN