最近高考完一大批人湧入steam,也有不少盒友一直對steam防騙不上心,導致被騙,本人疲於科普,所以想在小黑盒寫篇文章,遇到有困惑的盒友也方便引用貼出,翻了翻小黑盒的帖子不夠細緻(哈哈當然我也會偷很多懶)本貼將基於貼吧老哥fps168於2019年底在CSGO吧發佈的置頂防騙指南加以補充和完善。
目前還沒有經過老哥的轉載或引用授權,這個16級的橙牌老東西現在還沒回復我,上次活躍是在今年五月問要不要更新防騙貼,但是實在忍不住了先寫為快,如果後續老哥回覆說不準我再刪了找時間重新來過(懶 如果沒啥問題後續也歡迎盒友補充,會一直更新版本 由於騙局大部分跟CSGO這款遊戲有關也許我會在後面補充專題(找時間更),不玩這款遊戲的朋友呢可以不用看,目前圖片能搬我就搬了,新版steam的地方大差不差,有需要我會自己再截
為什麼要來騙我?
首先是上文提到的你是否有玩CSGO這款遊戲,大部分呢是玩了並且公開了自己的庫存(機器人掃描),這裡面又有些人庫存價值還行,因此會選擇來投放詐騙信息,有些人庫存就幾十塊或者根本就不玩CSGO這款遊戲,其實也是有騙的價值的。無論是你所擁有的遊戲,steam賬號等級,用戶年限,餘額,卡牌等等或者只是單純啥也沒有的也值得一騙,畢竟電商平臺賣號還有幾毛錢呢,總之不要掉以輕心,你有沒有上述行為只是用於給賬號價值定位而已,而騙子廣撒網,卻不需要太多額外成本。“為啥啊,你被騙過嗎?”
專有名詞
1、API key
這是Steam免費提供的一種接口,對於飾品相關來說,通過API可以查詢你的交易報價內容(交易物品、留言等)以及【取消】和【拒絕】交易報價(記住通過API無法主動【發起】報價),API劫持詐騙核心之一
如何查看API Key
手機查看key的方式類似,通過錢包等地方調到steam客服界面即可,畢竟steam本質上也就是個瀏覽器
2、手機令牌
Steam手機令牌是Steam手機應用(App Store及各大應用市場可下載)最重要的一項功能,它是保護賬號安全的最終防護手段,沒有令牌你買賣飾品將會受到很大限制,比如交易暫掛。注意令牌不是綁定手機,下載手機應用就開啟了的,要自己在手機應用裡手動開啟令牌功能
3、交易URL
有人會問,既然通過API不能主動發起報價,非好友之間也無法直接發起報價,那騙子小號是如何向自己發送報價的呢?這就要提到交易URL了。Steam的機制規定非好友之間無法直接發起報價,但是通過特定的交易URL,他人就可以在尚未添加好友的情況下向你發送報價,API劫持詐騙核心之一
4、確認
保護庫存安全的最終防護手段。你在Steam市場出售、發起的交易報價,都需要在Steam手機應用側邊欄的“確認”一項裡進行最終確認,防止庫存被惡意盜取。確認功能只能在綁定了令牌的手機上使用,即使騙子盜了你的號,確認仍要號主本人進行,換句話說,自己是否被騙取決於你自己
新版手機steam更新後可以極大程度防止這類詐騙,後面會講
常見騙術介紹
1、【API劫持】
這是目前最為常見的騙術之一。顧名思義,API Key被騙子惡意劫持,通常是由於玩家使用Steam賬號登錄了釣魚網站造成的。此時你的賬號、API以及交易URL全在騙子手上,等的就是你用手機進行確認的那一步。若API Key被劫持,騙子就可獲取你的交易信息,別人向你發起報價,騙子通過被劫持的API在一瞬間拒絕掉真正的報價,並通過小號換上對方的暱稱、頭像,向你發送偽造的假報價,在確認階段稍微不注意核實就接受了假報價,導致被騙
原作者P.S. 理論上來講,點擊釣魚網站鏈接但不登錄是不會有事的,除非你手賤去登錄。但保不齊哪天騙術又升級了,所以只是點擊鏈接也請視為API已被劫持
筆者補充:很多瀏覽器都會保存steam的登錄信息,自動登錄,“因此點進去的那一刻就有可能被劫持了,所以務必不要抱著僥倖心理
行騙過程
1、騙子添加好友,聲稱想要購買你的某一件飾品(理由很多,包括但不限於:你中獎了,快去XX領獎、跟你組隊打遊戲、新網站送你XX餘額等等)
2、騙子聲稱可以走第三方交易平臺,但要求你先去“檢查物品參數是否為他想要”,向你發送不明鏈接
3、點擊釣魚網站並登錄後Steam賬號被盜取,API和交易URL因此洩露,此後通過報價進行交易就會被騙
4、【①交易對象向你發送正常報價,②此時你的賬號除了令牌、確認都在騙子手上,騙子拒絕掉,③同時用小號偽裝成交易對象(如頭像、暱稱)向你發送一個一模一樣的假報價】
5、【或①你向交易對象發送正常報價,②此時你的賬號除了令牌、確認都在騙子手上,不等你確認,騙子立馬取消掉你發送的原報價,並用你的賬號向騙子的高仿號發起假報價】
5、確認時不認真核對對方信息,接受了假報價,飾品被騙
以上新版本手機steam會通過提醒你“最近有取消的報價”來防騙,但是這仍然是最常見的有效騙術之一
或:
在個人主頁留言板下留下信息,聲稱想要購買你的某一件飾品(理由很多,包括但不限於:你中獎了,快去XX領獎、跟你組隊打遊戲、新網站送你XX餘額等等),附帶不明鏈接
如何預防
1、拒絕添加來路不明的Steam好友。若有必要,隱藏庫存,關閉留言板有需求再打開,此方法能最大限度防止陌生人向你發送好友申請
2、陌生人發來的任何東西都不要去點擊,不管它是鏈接還是圖片
3、不輕易用Steam賬號登錄第三方網站
4、定期檢查自己的API Key,發現任何不是由本人註冊的key立馬註銷,並更改Steam密碼
5、定期更換交易URL,更新後老URL將會失效
6、認真核對交易對象信息,比如:賬號註冊時間、Steam等級,若有不符立即中止交易
7、Steam社區域名由英文單詞steam和community組成,牢記其拼寫謹防高仿Steam官網,如m寫成nn,字母o寫成數字0
8、在最後確認報價前,再一次檢查報價中的交易對象
補救措施
如果你發現被API劫持,甚至已經被騙走庫存
1、立即【更改密碼】、【取消設備授權】、【註銷API】、【更新交易URL】防止二次受騙,以上四條請務必完成,不要存在僥倖心理
更改密碼
取消授權
2、向Steam客服投訴,封掉偽造賬號的交易權限
找就不要想著找回來了,因為API劫持而造成的損失找回幾率幾乎為0。在以前向Steam客服投訴還可以為你複製一份一模一樣的庫存補償,但由於此種方法被濫用於惡意複製高端飾品(那些磨損一模一樣的咆哮龍狙就這麼來的),現在客服不再恢復庫存。
以上操作均可在手機上操作
API劫持變種
部分玩家會遇到以下情況:自己的頭像變為VAC、好友被清空,“Steam客服”聲稱立即將被VAC封禁,但給你時間“轉移有價值的庫存”,急忙轉移庫存卻發現飾品不翼而飛。此種騙術主動引誘你進行交易,而這時你的賬號幾乎就是被騙子控制,並在交易時下手
更改賬號密碼、取消設備授權、註銷API、更新交易URL,在完成上述要求前不要進行任何交易行為
如何判斷自己已經被API劫持
1、向他人發送報價怎麼都發不出去,均顯示已取消
2、上面說過,通過API可以拒絕掉真正的交易報價,那麼就在交易時查看報價歷史裡是否有被非本人取消/拒絕掉的報價,若有,那麼你的賬號就遭到了API劫持。你可以找一位好友試著向你發起報價(發起前請確保好友自己沒被API劫持),如果你在報價歷史發現了不是被自己拒絕的原報價,那麼你已經遭到了API劫持(警告:部分API劫持會忽略掉價值低的報價,可能測試不出來,真正交易時則兇相畢露)
3、騙子可以模仿真正交易對象的暱稱、頭像甚至Steam等級,但有一點是幾乎不可能模仿的:Steam註冊時間(除非騙子為了釣你這條大魚特意找了個註冊時間相同的賬號)。在第三方平臺交易時平臺會提醒你真正交易對象的註冊時間,發起/接受報價時也能看到對方的註冊時間,若兩者不一致,這說明很有可能已經遭受API劫持,請立即中止交易。
最後
關於steam騙局也是老生常談了,無論怎麼被騙,只要有操作權,註銷API,改交易URL,改密碼,取消授權都是必要操作!原文較老,有缺失遺漏,需要更改的地方請大膽提出!我寫這個文章也是為了以後遇到人被騙了方便直接丟給他看,沒別的其他特殊需求
最近騙術比較降智,直接發救援碼給騙子,目前我已遇到2個盒友中招,還有一定要留意自己的郵箱是否短時間內有大量市場交易通知,通常這是被洗餘額的表現,以上操作通用