新闻链接：http://www.seehand.com/community/1224.html
新闻时间：2015年12月15日 13:52
新闻正文：
     Valve公司受欢迎的游戏平台最终妥协，因为其平台上遇到了猖獗的欺诈和不安全活动。

游戏厂商Valve公司承认，它的Steam游戏社区遇到了账户遭窃的一些问题，现在已采取保护用户的措施。Valve公司所采取的保护用户的新措施是否足以保护Steam仍需进一步考察。

“我们发现，每月约有7.7万账号被劫持和攻击，”Valve公司在一篇博文为其新安全措施解释道，“用户可能作为较大群组的一部分，或者甚至作为个人成为随机的攻击目标。黑客可能会为付款等待数月，并一直无情地尝试访问账户。要与那些以窃取你的财物为生的人斗争，是场必败的战争。”

Steam交易社区是账户攻击者的重要目标，该社区能够让用户之间相互交易物品。

Valve公司现在为Steam账户引入了一个双重认证（2FA）系统，称之为Steam移动卫士。所有2FA系统的基本原理在于提供第二项因素或设备，用户需要用它来登录账户，因此账户被窃的风险就减少了。与简单地植入现有的2FA技术不同，Valve公司创建了Steam自己的系统。Google公司的Authenticator是现在使用中流行的2FA技术之一。

“要求用户从一般的认证器中获取一个代码，然后输入到一个已遭劫持的PC中来确认一项交易，这意味着攻击者可以欺骗他们卖掉他们不想卖的物品。”Valve写道，“这基本不太可能再使用一般的第三方认证器来确认交易，例如Google Authenticator。”

安全专家对Valve公司采取新措施来保护Steam用户并不奇怪。Rapid7公司的高级安全顾问Mark Stanislav称，Steam和其他涉及数字货币的游戏平台一直是对罪犯非常有吸引力的目标。尽管Steam已成为目标，Stanislav强调说，Steam公司的约1.25亿用户中，仅很小比例用户的账号遭到攻击。每个月约有7.7万账户被窃，这意味着被攻击的用户少于1%。

“尽管该数量当然是个大问题并非少数，但其仅表明了在巨大的群体下攻击者成功的机会有多少。”Stanislav说。

EMC的安全部RSA市场负责人Rob Sadowski评论称，潜在具有经济利益的服务或系统均会成为攻击目标，Steam的流行性再加上游戏内商业容量使其成为高价值的目标。他说，事实上，没有完善的安全机制，较为“传统”的交易系统——例如，银行——或者类似的系统中能发现欺诈控制，就创造了攻击机会，游戏平台可能是较易遭攻击的系统。

“不应忽视的是，可能不像银行账户或金融交易，用户对于游戏账户或虚拟财物不具有相同水平的意识，”Sadowski说道，“因此，他们在保护游戏账户时，不会那么仔细和周到。”

关于新的Steam移动卫士的双重认证系统，Sadowski说，强的认证方式在认证用户确为他们时，是一项非常有效的控制手段。

“然而，认证应当由其他诈骗监视和控制手段增强，通过分析用户的行为，高亮预示各类型欺诈或滥用的高风险活动。”Sadowski说道。

Stanislav对于Steam移动卫士2FA系统在用户方面持乐观态度，尽管在过去的案例中，游戏世界中这类系统曾被失败过。

“去年初，我们看到了一种恶意软件，它事实上可以拦截魔兽世界的双重认证代码，”他说，“正因如此，Steam所采取的措施中，用户不是简单地将他们的移动设备中生成的代码输入到PC中，相反，通过他们的手机直接向Steam的基础设施执行认证行为。”

Stanislav的观点是，如果游戏用户大量采纳的话，Steam的2FA系统的方法和手段应该会大幅减少数字盗窃。

“总是存在一种风险，即新的安全问题可能会被发现，使得攻击者可绕开该安全控制措施，在移动应用中找到弱点，或者对游戏用户进行社交攻击从而实施导致账户安全弱化的行动，”Stanislav说，“但是，这些新途径对于一般的罪犯来说要难得多，由于攻击成功的复杂性增加，攻击者可能会寻找其他的平台或群体作为目标。”

[课程]Android-CTF解题方法汇总！