被钓鱼网站盗号，盗号者目前正在撞库，现在应该如何使损失最小？

appleID 是可以改邮箱的，steam 不知道能不能改（好像是不能）。
改邮箱就直接规避了。

二次验证才是正道

另外，如果不嫌弃，可以发出来钓鱼网站的网址，让我们乐呵乐呵

只能一个一个查，立刻修改密码。

@kop1989 很棒的建议

@kop1989 是 steam 上一个活动领皮肤的钓鱼网站，骗填游戏里的验证码的。pubghpl.fun 这个网站，以前不怎么玩 steam，陪朋友玩游戏才弄的，没想到 steam 社区首页上的还能是假的，官方居然不删掉

steam 可以改邮箱

现在确认信息：
1 、qq 相关服务没有异常登录，邮箱没有被盗，不存在盗号者进邮箱删提示邮件
2 、没有收到登录 iCloud 的邮件，应该没有登录 iCloud
3 、早上 Apple ID 被锁，怀疑有人尝试登录 /登录后分享账号
4 、盗号发生时间昨天 17:12，Apple ID 是早上起来被锁的，steam 是昨天晚上就被盗了，朋友提示我在线才发现

@kop1989 盗号者就是把邮箱也改了，所以现在在申诉

@my2492 steam 社区首页都是刷上去的，就是很多账号一起刷，总有漏网的

目前已经检查的绑定邮箱的地方：
百度和部分网易游戏
腾讯游戏采用 qq 登录，应该没有影响

大家还能想到哪些地方一般会绑定邮箱的？非常感激大家

微博、淘宝、抖音、大众点评和各种外卖软件、直播平台、b 站、支付宝、京东、苏宁、知乎、闲鱼均已检查，都是手机号登录

百度已检查，提示未找到此密保邮箱，应该是没有绑定自己的 qq 邮箱

现在开始检查境外平台用邮箱注册的应用

@ditel 我刚才去看了一下，现在都还在。。这么大的东西就在首页最前面，难以置信，都一天了还没删

lastpass 保平安

建议通过这次事情，使用密码管理软件 1p，enpass，keepass，lastpass 之类的，同时加上 totp 把常用的都换掉，totp 加强抗风险能力，生成随机强密码也减少被一锅端的风险。

@my2492 这个是游戏评论..谁都可以写的 只能说社区没人管 而且也没人防范

已检查 twitter 、instagram 、pixiv 等海外平台，暂时没有发现异常

@my2492 安排上了这就去抓接口写自动提交

兄台你先把手机上的苹果账号退一下吧，万一被人登上去了抹你数据就惨了

@ClarkAbe #17 用了防 ddos 和人类检测，postMan 搞不定了，非专业前端表示压力很大。😂

打不了。。。他套了 cf，成本太大。
不过你可以向 cf 提交滥用
https://support.cloudflare.com/hc/zh-cn/articles/360028158352

@kop1989 直接提交接口啊……带上 cookie

@ClarkAbe #21 接口会验证 js，直接提交会跳转到 cf 的页面上被洗掉，有层 cf 做浏览器和真人验证，不知道咋下手

steam 很多留言盗号的，领 PUBG 皮肤的~举报过没啥用。

@yujiang 抹掉数据需要验证锁屏密码吗？还是只要 Apple ID 密码就行？

之前 V2EX 被打时，据说攻击者有能力穿透 cf，不知道是啥技术

@yujiang 昨天他自动用 194.156.123.122 这个 ip 登了我的号，这个应该是后端的一部分

@LnTrx 钞能力（狗头

@ClarkAbe 除非你能模拟人家的 token

所以我一个域名 /公司一个密码,防止一个密码出问题,别的也遭殃

用 1password 每个账号不同密码，再也不怕被撞库了
家庭版还有车位，联系 tg：vvalkyrja （狗头

我发现是 10 条提交就禁 ip，所以只能插 10 条 fuXkyXu 然后就 403 了😂

钓鱼网站 url 有吗 帮你攻击他 写点脏数据什么的

@zqz19941106 pubghpl 点 fun 这个是网站，试了一下不好攻击，它是实时验证密码正确性的，不是收集后人工尝试的。
不过它后端使用的 ip 是 194.156.123.122 ，当时收到了如下邮件：

这封电子邮件生成是由于地址为 194.156.123.122 （ RU ）的电脑试图登录您的帐户。该地址在试图登录时输入了您正确的帐户名称和密码。

这个应该没事的，你之所以被盗号，是因为你点了链接，他跟你要了邮箱的验证码，你输入了验证码，他直接改你的 steam 密码了应该是，他应该没拿到你的密码，账号被盗了他们有群出售账号，然后有人买号开挂带老板上分

@ghylcg 是的，整个流程大概是输入账号密码——您的 Steam 帐户：来自新电脑的访问 邮件——Steam Account Recovery 邮件——与 Steam 帐户关联的电子邮件地址已被成功更改 邮件
我朋友也证实了这个号昨天晚上就开始有人在玩了，今天早上又有人玩了两小时。然后我这个号的名称直接是我的 qq 号

然后今天早上我用 qq 号做主邮箱的 Apple ID 被锁定，原因未知。客服说被人暴力破解输错 5 次或者是被人一次成功登陆异地登陆等行为都可能触发锁定。个人感觉应该没破解成功，邮箱里没收到账号登录提示邮件，也没有锁我手机，话说盗苹果 ID 最常见的不就是锁手机勒索么，不过这个事情感觉也真的很巧合

@my2492 哦，这就明了了，怪不得写脏数据能实时返回密码错误。他的目的是拿到改密码邮件的验证码。
这就很难再恶心他了，主要用了 cf 的 cdn，不是国内黑作坊的流派。

@kop1989 他这个理论上能看到我输入的密码吗？我现在就是觉得 Apple ID 早上被锁很奇怪，之前一直很正常，怀疑他对我的 Apple ID 干了什么..

吃一堑，长一智
用密码管理器
如果域名不对，就不会自动填充，自动防范钓鱼。

1 、随机生成密码
2 、二步验证
能解决大多数问题。

ddos 吧

密码管理器，域名不对是根本不会自动填充

@KamenReborn 会影响使用某平台账号授权登录其他平台这样的吗？

@my2492 #42 授权登录也会跳回源网站再登录啊

查 chrome 的密码记录

@LnTrx 有个网站能查 cf 真实 IP 来着

@my2492 俄.罗斯的，兜兜转转看了一圈感觉像肉鸡

@yujiang 什么网站啊

@yujiang #45 试过了，无论是 censys 还是 d@n@s 历史记录都木有，RU 果然比咱这边的杂鱼专业的多😂

@my2492 前段时间也手欠点了一次，导致账号被封，因为账号里有点枪的皮肤，所以申诉回来了，正常走申诉就行，会跟你要一个交易的截图，如果充过钱的话，账号应该就可以申诉回来

steam 推荐评论的链接基本都是钓鱼（可以改游玩时间 10 小时以上的评论上首页推荐，钓鱼的游戏时间一般都不会超过 1 小时），而且 steam 被盗的一般是没开启手机令牌二次验证

没救了，唯有换密码。

@ghylcg 我也申诉回来了，申诉回来非常容易，但是这种钓鱼网站会不会去折腾其他平台的密码是个问题

不检查一下游戏的装备吗

@yhyh 游戏没什么大问题，毕竟不涉及隐私和消费

再提交一个错误密码到钓鱼网站？

@xyjincan 钓鱼网站是实时验证你密码是否正确的