那天晚上跟往常一样,打算打两把《CS2》再睡觉。输入密码,提示错误;再试一次,还是错。我心里咯噔一下——难道被盗了?但马上劝自己冷静:我绑着手机令牌呢,不可能吧。通过“找回密码”进邮箱,发现凌晨三点有一封Steam发来的密码重置请求,地址是乌克兰。那一瞬间,血往头上涌。
赶紧用手机令牌重置密码,抢回账号。进去一看,库存里三把刀、几个手套全没了,余额清空,连好友列表都被删光。我呆坐在电脑前,手指发凉。明明有手机令牌,为什么还会被盗?
手机令牌不是保险箱
出事之后我疯狂翻日志、查资料,才慢慢明白:手机令牌是二次验证,但它不是铜墙铁壁。大多数时候,它很管用,可出事的人恰恰就出在“大多数”之外。盗号者根本不需要强行破解你的令牌——他们绕过它。
我意识到自己犯了一个致命错误:用的登录方式是第三方网站。几个月前为了抽个饰品,在一个灰产网站点了“通过Steam登录”,当时弹出了Steam授权界面,我随手点了“授权”,手机令牌也确认了。就是这个授权,让我的账号跟那个网站永久绑定,盗号者只要黑掉那个网站,就能拿到我的令牌access token,直接调用Steam API进行交易,根本不需要再问我二次验证码。
常见的令牌绕过手法
- 通过已登录的会话Cookie或授权Token直接操作API,无需再次验证
- 利用木马远程控制电脑,在本地读取Steam目录下的SSFN文件,劫持已认证会话
- 精心伪装的钓鱼网站实时转发密码和令牌码,实现即时登录
- SIM卡交换或手机号转移,直接把令牌重置到攻击者设备
我翻看了那几天的登录记录,发现账号被从十几个不同IP访问过,全是通过那个第三方网站的授权API。盗号者根本不需要我的密码,也不需要每次输入令牌——他们在后端直接用我的授权令牌发起交易请求,Steam以为是我本人在操作。
愤怒之后只剩难受
以前总觉得绑了手机令牌就高枕无忧,现在才觉得太天真。Steam的安全体系里,令牌只是其中一环,而你给出去的每一个授权、每一条API记录,都可能成为破口。我不怪Steam,毕竟是我自己点了那个授权。但那种无力感——眼睁睁看着库存被清空,自己却毫无察觉——真的让人后怕。
现在每次看到“通过Steam登录”的页面,我心里都会咯噔一下。不是所有授权都能撤销干净,有些网站即便你解除了关联,它们的服务器还留着你的token。唯一能做的,是定期检查并回收所有Steam授权、家庭监护、及激活的机器。我还会手动注销所有其他会话,强制重新登录。
被盗之后,我反复想:手机令牌到底有什么用?它有用,而且对大多数人来说够用了。可如果你像我一样,为了图方便乱点授权,或者电脑里有木马、手机被植入恶意应用,那令牌就跟没有一样。安全是链条,最弱的一环决定硬度,而我的弱环就是那颗贪便宜的心。
现在账号算是捡回来了,但损失的饰品再也追不回。每次打开库存看到空荡荡的界面,都提醒我:别信“绝对安全”,也别信自己不会中招。唯一能做的,就是再多锁几道门。
