网络安全研究人员发现了一个新的以 RuneScape 为主题的网络钓鱼活动，它在各种操作中脱颖而出，制作精良。

RuneScape 是二十年前首次发布的免费在线 MMORPG 游戏，但仍继续在游戏社区中流行并受到数百万玩家的喜爱。

多年来，其“老派”版的活跃玩家数量一直在稳步增长，并在 2019 年开发者发布移动版时大幅飙升。

Malwarebytes 发现的最新网络钓鱼活动试图通过虚假的电子邮件更改通知针对 Old School 和标准 (RuneScape 3) 版本的玩家。

它从一封电子邮件开始
最初的电子邮件假装来自 Jagex 支持，即 RuneScape 系列的开发者和出版商，通知收件人两个版本的电子邮件更改成功。

该消息

发送给 RuneScape 用户的钓鱼邮件 (Malwarebytes)
建议不同意此更改的收件人单击嵌入在电子邮件正文中的“取消更改”按钮。或者，如果按钮不起作用，诈骗者会提供一个 URL 供受害者在浏览器上手动复制粘贴。

在这两种情况下，受害者都会被带到一个域名靠近真实门户的网络钓鱼站点，并使用合法的艺术品和风格使其看起来像真实的。

这种虚假登录会提示用户输入他们的登录凭据，以取消更改与该帐户关联的电子邮件地址。

窃取玩家凭据的网络钓鱼站点 (Malwarebytes)
由于帐户的凭据没有更改，因此受害者在网络钓鱼站点上输入了它们。之后，第二个网页加载，要求受害者提供他们的 RuneScape 游戏内银行 PIN。

请求受害者银行 PIN 码的网页
​​​​​​​（ Malwarebytes）
RuneScape 中的银行是玩家通过支付真钱或花费大量时间收集稀有游戏内物品来建立的虚拟游戏物品储藏室。

通过泄露他们的银行 PIN 和帐户凭据，受害玩家可以完全访问他们收集的所有物品给网络钓鱼骗子，然后他们可能会转移这些物品或接管帐户并将其出售给感兴趣的个人。
滥用 Discord 窃取帐户
根据 Malwarebytes 的说法， 在虚假登录页面上运行的 JavaScript 代码通过 Discord Webhook 将被盗数据发送给攻击者，该 Webhook 将其发布到攻击者控制的通道中。

代码中存在 Discord 引用 （Malwarebytes）
在那里，威胁参与者可能会坐下来等待新消息的到来，并在身份验证代码到期之前迅速采取行动控制受害者的帐户。

今天，Cyble 发布了一份关于新版本信息窃取恶意软件 Hazard Token Grabber 的报告，该恶意软件还使用 webhook 将被盗数据泄露到 Discord 频道。

自从恶意软件运营商发现其潜力以来，Discord Webhooks 的滥用一直很猖獗。该平台曾告诉 Bleeping Computer，它不久前正在积极检测并阻止此活动，但恶意操作的数量显然太高而无法控制。

如何保持安全
如果您是 RuneScape 玩家并且担心自己的帐户安全，请注意，在您确认操作之前，Jagex 支持人员永远不会更改您的电子邮件地址，因此所有这些“意外”电子邮件都是网络钓鱼。

该游戏还在论坛上维护了一个网络钓鱼报告中心，以帮助保护玩家免受这些诈骗企图的伤害，因此请确保在那里提交可疑消息。

最后，切勿单击电子邮件正文上的嵌入式按钮。如果您收到一封声称您的帐户的电子邮件，请手动访问游戏的官方网站并从那里登录以查看任何警报。