→ spfy: 有用MFA的情況 要真的把token盜走才會gg(就是內文的意思) 06/04 16:37
→ spfy: 但實務上只要稍微小心一點很難中 有些網紅yt中獎是被雙重 06/04 16:38
推 aegis123321: 我點了你連結那篇文 裡面沒有講到甚麼郵件阿 06/04 16:38
→ aegis123321: 看起來只是在講他後續怎麼處理 06/04 16:38
→ spfy: 社交工程釣到 就長期穩定合作的廠商先中獎但不知道 然後發了 06/04 16:39
→ HJC6666: 沒有用STRAM GAURD END結案 06/04 16:39
推 shadowblade: 有用手機steam guard加上只用steam用戶端登入,沒有 06/04 16:39
→ spfy: 第二層釣魚信 yt認為這是可信的發信人才會開 然後才中標 06/04 16:39
→ shadowblade: 手賤去亂按啥小很難出問題 06/04 16:40
推 tonsin2976: 所以說才要綁steam gaurd 06/04 16:40
→ shadowblade: 沒有用steam guard被盜的基本都不用看 06/04 16:40
→ spfy: 那種直接盜走登入狀態TOKEN的用驗證器也沒用 它直接繞過去 06/04 16:41
推 shadowblade: 盜token也是有前置動作吧(例如自己亂按 06/04 16:42
推 dalyadam: 老皮中過 算是經紀商被中木馬 老皮下載所謂的工商程式 06/04 16:42
→ spfy: 除非完全沒有任何裝置選"記住登入狀態" 每次都輸入驗證碼 06/04 16:42
→ dalyadam: 然後cookie就被盜了 很多帳號都被盜QQ 06/04 16:42
→ spfy: 但要盜TOKENT難度就高很多 真的把釣魚信木馬抓下來才有機會 06/04 16:43
→ aegis123321: 被廠商搞真的很哭 不知道怎麼賠 06/04 16:44
→ spfy: 那種我也很好奇後續怎麼處理...超麻煩 06/04 16:44
推 shadowblade: 我自己在登steam用戶端就是沒記錄密碼然後每次key的 06/04 16:45
推 sakurammsrx: 為什麼不用STEAM GAURD? 06/04 16:45
→ shadowblade: 電子信箱+消費紀錄去把帳號要回來吧,除非連信箱一起 06/04 16:45
→ shadowblade: 被盜 06/04 16:45
推 Mydadisgay: 我好幾年就一直收到了 06/04 16:46
→ Koyomiiii: 沒收到過 06/04 16:47
推 aegis123321: 我比較好奇是 你就算不用STEAM GUARD行動裝置驗證 06/04 16:49
→ aegis123321: 明明退而求其次也還有信箱驗證 06/04 16:49
→ aegis123321: 這些人是連信箱都被盜? 06/04 16:50
推 shadowblade: 只用信箱驗證我記得好像也蠻多可以破的方法 06/04 16:50
推 polo2k: 有些人信箱也沒綁2FA也是增加風險 06/04 16:52
推 GBO5: 我在steam版也看過不少只有信箱也被盜的 所以幾乎都是推手機 06/04 16:52
→ we15963: 釣魚郵件是另一篇文章 不過因為都是陸陸續續有人被盜 06/04 16:52
→ we15963: 所以就轉發過來給大家看看 06/04 16:52
推 z22771187: 前幾周steam guard有出現要求登入要求 06/04 16:53
→ eva05s: 裝個steam app也沒多麻煩,裝吧 06/04 16:53
推 NoLimination: 我覺得這不是最近才這樣 06/04 16:54
→ eva05s: 可以剩下一堆鳥事不說,即使上班也可以買遊戲(x 06/04 16:54
推 enders346: 2023了還沒用Steam Guard 06/04 16:57
→ gininder: 現在每天都有中國IP在 06/04 17:01
→ gininder: 試我密碼 反正你能開就開開看阿ㄏㄏ 06/04 17:01
→ fly0204: 都2023了還沒用2FA 只能說死好 06/04 17:05
推 xiaoyaozizai: 笑死,被盜的根本佛心,一點防備都沒有 06/04 17:06
推 g5637128: 2FA的重要性 06/04 17:10
推 ikachann: Autht這麼好用 不用 被盜只能說剛好 06/04 17:18
推 speed7022: 現在真的越來越難防阿 06/04 17:21
推 Tiosocute896: 一般人就綁steam guard,email雙重驗證,東西不要 06/04 17:26
→ Tiosocute896: 亂點,怎麼中招? 06/04 17:26
推 aegis123321: 好 我剛剛爬了一下steam版的文 還真的有信箱2FA被盜 06/04 17:29
→ aegis123321: 原理到底是什麼= = 06/04 17:30
→ BOARAY: 所以不要屌信箱的信就對了吧好險都沒在看信箱 06/04 17:31
→ fannting: 信箱收2階段驗證碼被盜不就是信箱也被破解(steam帳號都 06/04 17:49
→ fannting: 被盜了表示知道你信箱,密碼如果差不多等於信箱也被盜) 06/04 17:49
→ fannting: ,最好是用手機authenactor app。沒開2階跟裸奔差不多 06/04 17:49
→ fannting: ,完全沒防護。註冊寫的如果是用孤狗信箱,其實可以在 06/04 17:49
→ fannting: 主信箱帳號後面加一些英數(對孤狗來說都會寄到同一個) 06/04 17:49
→ fannting: ,也就是弄分身信箱避免被破解。 06/04 17:49
→ aq981334: 2FA還是會被盜,不要亂點信箱內的網址或者附件最安全 06/04 18:10
→ aq981334: 講白話,你只要進入Steam網站在登入的狀態下,代表登入 06/04 18:11
→ aq981334: 的資訊都存在電腦本地,只要中毒,就算是實體金鑰驗證 06/04 18:11
→ aq981334: 都能被盜。 06/04 18:11
→ aq981334: 因為他已經紀錄你的登入狀態跟訊息了,複製一份到他自 06/04 18:12
→ aq981334: 己的電腦上就行了,一開Steam軟體跟登入器就等於自動登 06/04 18:12
→ aq981334: 入了 06/04 18:12
→ spfy: 2FA還被盜之一就前面的被盜TOKEN 只要你電腦有選記住登入狀 06/04 18:14
→ spfy: 態 那個東西被偷走就能繞過你的MFA 信箱也被盜也是一種 06/04 18:15
→ spfy: 但盜TOKEN一定要從你電腦拿 這就是社交工程的問題了 06/04 18:16
→ spfy: 真的怕就完全不要勾選任何儲存登入狀態之類的選項 每次開每 06/04 18:16
→ spfy: 次輸入驗證碼...但真的麻煩 一般人還是防社交工程比較快 06/04 18:17
→ spfy: 但不管怎樣至少要2FA算最基本了 06/04 18:19
推 jay920314: 請愛用手機二階 不用登入奇怪網站,交易前API清空 06/04 18:28
→ harryzx0: 2FA+不亂點連結 被try中密碼照樣把對方踢走 06/04 18:31
推 DGHG: 昨天在玩鋼彈的時候跳steam guard登入通知 嚇的我馬上改密碼 06/04 18:40
推 aegis123321: 我的疑惑是 有人說信箱2FA很弱,不如手機2FA,我也確 06/04 19:01
→ aegis123321: 實查到有案例是用信箱2FA被盜(討論的情況是該信箱本 06/04 19:01
→ aegis123321: 身也有手機2fa才能登入)。而偷token的情況不管你是哪 06/04 19:01
→ aegis123321: 種2fa都沒用,不該有信箱比較弱的結論才對?除非stea 06/04 19:01
→ aegis123321: m guard信箱驗證有洞,不然我不懂比較危險的原理是啥 06/04 19:01
→ chauan: 因為很多人信箱沒開2FA,所以變成比較弱的一環 06/04 19:34
推 kluele585: 我信箱有收到過但被steam guard 擋下 後來趕快換密碼 06/04 20:01
推 Gjerry: 信箱二階段驗證要開,密碼不要共用,開啟 passkey 06/04 20:08
→ Gjerry: 選項。 06/04 20:08
噓 aaaa8247: 沒有用steam guard被盜的基本都不用看 06/04 22:51
→ a85201207: 十幾天前被中國ip登入過 但他過不了信箱 各位小心啊 06/05 01:28