近日，犯罪分子创建了一个假冒的Steam皮肤赠品网站，该网站声称每天都会提供新皮肤，但实际上，它只是借此窃取您的登录凭证。

最初该网络钓鱼网站是由研究人员nullcookies发现的，他在Twitter上发布了有关该网站的警告。

在nullcookies告诉我们Steam钓鱼网站通常是直接在Steam上推广后，我们进行了相关搜索，发现这个骗局是通过对Steam个人资料的评论来宣传的。这些评论说：“亲爱的赢家！您的SteamID被选为“每周赠品”的赢家。请在giveavvay.com上获取你的Karambit | Doppler.

在Steam个人资料上推广钓鱼网站

这时，如果用户访问推荐网站，他们会看到一个假装成“ 30,000美元赠品”的促销活动，其中包含26天的免费皮肤赠品，用于CSGO(Counter-Strike: Global Offensive)。另外，该网络钓鱼登录页面的左侧还有一个伪造的正在运行的聊天屏幕。

假Steam赠品网站

为了获得免费的皮肤，该网站会告诉您使用您的Steam凭证登录该网站，然后等待“ SKIN RAIN”一词出现在聊天中。当它们出现时，该网站提示您应该单击这些单词以获取当天提供的免费皮肤之一。

每日送皮肤

他们还说，这些皮肤据称是由G2A、Handouts、opencases.cheap、GamDom、Kinguin和FaceIt赞助的。不用说，你也不应该相信这个网站上的内容。

另外，该网站上显示的聊天消息也是伪造的，并不是由实际访问者创建的。相反，JavaScript脚本包含一系列短语，这些短语是随机选择的，并插入到聊天中使其看起来像是一个真的对话。并且选择了许多时事的聊天字符串，例如湖人队和其他NBA球队的角逐。

随机聊天消息

如果用户上当，点击“通过Steam登录”按钮，它将假装从Steam打开登录页面，并且显示伪造的Steam登录页面。尽管此屏幕看起来像普通的Steam登录，但输入的所有登录凭据都将会发送给攻击者。

假Steam登录页面

登录时，诈骗网站还将启动一个合法的Steam Guard请求，并提示您通过该请求，以便他们获取代码。

Steam Guard提示

攻击者一旦获得了受害者的登录凭证的访问权，便可以劫持其Steam帐户，交易物品并进行其他恶意活动，例如推广他们的骗局。

不过值得庆幸的是，该网络钓鱼页面被大量报导，并且由Cloudflare托管，因此将会向尝试访问该页面的用户显示警报，并警告该网站为可疑网络钓鱼网站。

Cloudflare网络钓鱼警告

为了免受此类网站的攻击，所有Steam用户仅应直接从steampowered.com域登录Steam。如果您要使用其他网站登录Steam，请确保在输入任何登录凭证之前，对该网站进行深入的研究。

注：本文翻译自：https://www.bleepingcomputer.com/news/security/fake-steam-skin-giveaway-site-steals-your-login-credentials/