你的账号被盗了?Steam饰品交易防骗指南

你的账号被盗了?Steam饰品交易防骗指南

盗号骗饰品这种现象已有一段时间,最近感觉有愈演愈烈的趋势,而且骗子也越来越精。我时常听到自己客户抱怨,自己兢兢业业的做生意,却被别人误以为是骗子,而实际情况明明是对方自己不小心被盗了账号及API key,以至于被骗子骗走了饰品。

首先我们来说下这种骗局常见的情况:

  • 玩家A与商家B协商出售自己的库存。
  • 商家B向玩家A发起报价,索要A库存里的XX饰品。
  • A确认了报价。A向B索要货款。
  • B一脸懵逼的表示,A明明拒绝了B的报价要求,怎么还来索要货款?
  • A气愤不已,认为B一定是在骗自己饰品,于是上截图摆证据。然而一开交易列表,猛然发现刚刚竟然有2笔报价交易记录:一笔是B索要A的库存,已被拒绝;另一笔是另一个和B同名的账号向A发起同样的报价,A确认了交易。

这种情况,并不定是B伙同骗子骗取A的库存,而是玩家A的API密钥被盗了。

实际流程如下:

  • 骗子通过各种渠道让A访问自己的钓鱼网站(例如登录即送饰品送游戏、参加优惠活动、国服预约、骗子发送的其他链接等),登录页面伪装成了Steam官方接口登陆;
  • 玩家A没看出区别,尝试登陆,输入了自己的Steam账号密码和手机令牌;
  • 骗子用A的账号信息,给A的Steam帐号创建一个API key;
  • 骗子有了A的账号信息及API key,就可以同步获取A的交易报价信息,也可以拒绝交易报价。
  • A正常与B交易时,骗子利用API key拒绝掉B发送的报价,并发起一个相同的报价给A,A没有多想就确认交易,以至饰品被骗。

要知道骗子一旦有了你的账号密码以及API key,你的报价信息骗子是看的一清二楚的。和你交易的对象的用户名、头像、交易内容、留言、安全码等等,骗子都可以一一复制。

被设置过的API密钥如下图:

没被设置过的如下图:


所以不想被骗的话:

  1. 交易报价时,点开对方个人资料页,检查交易方Steam64位ID是否是对方本人。早些时候骗子还经常不写留言不改安全码,现在都进化了。检查64位ID虽然繁琐但是最保险。
  2. 登陆Steam官方API密钥设置页面steamcommunity.com/dev/检查自己的API key有没有被骗子设置过。如果在你不知情的情况下被设置了,点击【注销我的Steam网页API密钥】注销,并且修改你的密码。

编辑于 2018-07-04

文章被以下专栏收录