日前Cloud9战队分析师Ivan Kochugov | F_1N在个人频道上分享了关于Boombl4的趣事,根据他的表述,胖球差点就成为了STEAM社区诈骗的受害者。
该事件发生于IEM成都小组赛晋级赛之前,当时诈骗者试图得到Boombl4的信任,让胖球将所有的饰品转移到他在STEAM上唯一的好友那里。
“最后一场比赛的前一晚,我和胖球正在为比赛做准备并观看demo,然后他就从CS游戏中掉线了。在检查之后,他发现自己的STEAM账户上没有头像,还只剩下了一个好友。此外账户名也发生了变化,在名称中出现了Pre-VAC的字样。列表中唯一仅剩的好友介绍自己是 Steam的管理员,并警告说他的账号处于VAC封禁前的状态。当我们和Boombl4一起幡然醒悟并试图在网上上查找详细信息时,对方开始问一些问题,比如——你是该账号的所有者吗?
之后事件发展得更快:对方宣布现在将从胖球账户中删除反恐精英,然后游戏就真的消失了,再往后我们看到了一份声明,要求胖球必须在24小时内从账户中转移所有皮肤。当然当时我们的神经很紧绷,但我们冷静地思考后意识到自己不应该点击任何链接,尤其不应该在账户上做不必要的动作。与此同时,我们向比赛主办方寻求帮助。
而这名所谓的STEAM客服则态度强硬,继续表示有必要紧急将皮肤转移给朋友或将其放入存储单元。后来我们发现诈骗者以某种方式获取了胖球STEAM账户的API密钥,从而可以对其执行各种操作。
最终这件事耗费了我们三个小时的时间。在此期间Boombl4没有做任何傻事,账户的访问权限最终被归还了。但我已经够紧张的了。通过此事我们也得出了结论:如果骗子想强迫你做什么,那一定是有原因的。不管做什么,都请三思而后行!”
API是程序背后中最常见的东西,用于程序之间相互通信请求和交换数据。第三方程序(例如交易平台)需要拿到用户的Steam API密钥用于发起报价或检测报价状态。这也是为什么想要通过第三方交易平台进行交易是必须要绑定Steam API密钥的原因。可以说有了API 密钥之后,交易平台就可以自动发起正确的报价给买卖双方。
如果API密钥泄露给了诈骗者,那么诈骗者同样可以操作报价,目前所有的API劫持诈骗基本也都是自动化完成的。
在STEAM官网之上,也有应对API劫持的辨别方案:
识别欺诈
对所有交易请求持怀疑态度,尤其是在对方施加压力的情况下。 即使您认为自己正在与值得信赖的朋友(他们可能被劫持或冒充)或自称拥有权威地位的人交谈,也仍要如此;
将与物品相关的任何异常请求都视为是骗局的开端,即使该请求来自值得信赖的朋友也不例外,因为他们的帐户可能被劫持或冒充;
请记住,任何通过Discord、Steam聊天或除Steam客服站点以外的任何其他系统就您的物品或帐户与您交谈的人,都不代表Steam,应该被屏蔽;
请勿点击链接、安装应用程序或向任何人提供您的帐户凭据。 只要您保证帐户安全,骗子就无法重定向您的交易;
请务必使用Steam手机验证器的确认窗口中的所有信息,反复确认您正在完成的交易是否为您打算完成的交易。
如果API已经泄露,则可以通过STEAM网页重置自己的API,或者取消STEAM账号对所有登录设备的授权。
文章来源: 5EPlay