Steam库存里多了个看起来还挺像那么回事的独立小游戏,图标、商店页截图都规规整整,点进去玩两把也没觉得有什么不对劲——但你电脑里的密码、数据,还有加密钱包,已经被人盯上了。这可不是段子,是真事儿。美国那边刚抓了一个21岁的佛州大学生,FBI说他就是靠这招,在两年里搞掉了至少80个加密钱包,顺走价值超过22万美元的币。
先别急着清库存,咱把这事从头捋一遍。根据检方公布的刑事诉状,这哥们叫Zyaire Wilkins,平时在网上用的昵称是Sibel.eth。他被指控跟一串还没有公布姓名的同伙一起,把带恶意软件的游戏塞进了Steam。
光听名字你可能都没啥印象,比如BlockBlasters、Dashverse、Lampy、Lunara,还有一款叫PirateFi。这些游戏都设计得能正常安装、能正常运行,目的就是为了让你觉得“嗯这是个正经游戏”,放松警惕。
但只要你装上,藏在游戏本体里的恶意软件就会开始干活。按照FBI的说法,通过这一套操作,Wilkins这伙人感染了大约8000名受害者,然后从中盯上了大约80个加密钱包,最后得手的数字是至少22万美元。换算一下,大概每个中招的钱包被掏走将近3000刀。
而且这帮人在推广上也是下过功夫的,不是闷声上传就完事。FBI调查发现,他们跑去Discord、LinkedIn,还有Telegram这些地方给游戏打广告。光听这几个渠道的名字就能品出来,这不像是随便搞搞流量,是有意识地去覆盖那些喜欢尝鲜独立游戏的玩家圈层,甚至在职业社交平台上也在包装自己。
要说FBI这次是怎么把人摸出来的,过程也挺有戏剧性。先是在调查中,他们找到了另一个同样涉案的人,这人没被公布名字,跟探员谈的时候交代了——他说自己跟别人合伙筹钱发行这些假游戏,代价是事成之后分一部分偷来的加密货币。顺着这条线,FBI锁定了一个跟这个计划相关的加密账户,然后盯住了从这个账户里流出去的钱。这不,他们发现这个账户当时用来买了些礼品卡,其中就有UberEats的。
关键的突破就卡在这张外卖礼品卡上。FBI向Uber要了数据,一看,那些用赃款买的礼品卡关联到了一个账户,而这个账户的配送地址指向的正是Wilkins本人。怎么说呢,技术环节做得再花哨,最后栽在一份外卖上。他大概也没想到,自己以Sibel.eth的网名在圈子里搞事情,是Uber的配送记录把他跟现实身份锁死了。
等搜查令一批,探员上门进他家,笔记本电脑、手机、别的各种设备,还有数字钱包,全给收走了。诉状里写得很清楚:这人进去之后选择不说话,拒绝回答任何问题。
其实今年3月,FBI就公开说过在查一个案子,有人通过Steam上带恶意软件的游戏黑入玩家电脑。那时候他们就喊话让下载过这些游戏的人赶紧联系他们提供线索。上面提到的那一串游戏名字,当时就已经在通报里点了名。而Steam背后的Valve,在过去这一年里也确实陆陆续续移除了好几款被查出带恶意软件的游戏,其中就包括这次案情里出镜的PirateFi。
这事掰开来看,最让人心里咯噔一下的点在于:它不是让你下载一个来路不明的小程序,也不是点进模仿银行页面的钓鱼链接,它是借着一个你信任的大平台去完成最开始的触达。Steam本身就是每天成千上万玩家下载游戏的地方,独立游戏的种类又多,哪天你刷个新品榜单,看到一个评价不多但页面信息也挑不出大毛病的游戏,谁也很难第一反应去怀疑它包着的是木马。
而且得承认的一点是,这个案子现在提到的那几个假游戏,名字对绝大多数玩家来说都挺陌生,不是那种蹭IP热度的山寨大作,也没挂着什么让人一眼就觉得“这也太假了”的页游封面。恰恰是这种看起来不太起眼、定位很独立、标题普通的小体量作品,更容易在初期绕过普通玩家的直觉防范。毕竟在大家的习惯里,只要是从Steam客户端进去的、能正常进游戏跑起来的,心理防线会自然松懈很多。
当然,现在锅不能全甩给Steam,平台的反应速度也不算慢。这次被移除的PirateFi等游戏,Valve都是在发现恶意软件后很快就做了下架处理。真正难防的是上传和审核之间的时间差,以及恶意代码本身做得足够隐蔽、先用正常游戏内容包装好,等安全机制反应过来的时候,下载量已经上去了。
至于Wilkins这个案子目前还处在起诉阶段,他的律师到现在也没做出回应。对于玩家来说,至少眼下有个比较现实的变化是:以后在Steam上看到主页面做得很干净的陌生独立游戏,别再只看商店页的截图和简介就闭眼入库了。不管是社区讨论还是评测区,如果有谁提到“感觉不太对”“杀毒软件报了”“运行之后资源占用异常”之类的反馈,那就多留个心眼。
说到底,这次不是Steam突然变得不安全了,而是有人专门利用了我们对大平台的信任和独立游戏的海量上新节奏。一台干净电脑装个不明来路的游戏,代价可能是一整个加密钱包被搬空,这个账现在大家都得学着算了。
热门跟贴