论坛中突然聊起了自己网游被骗的经历，让我突然想起了了自己小时候第一次玩网游、第一次被骗的那些故事，结合现在steam上形形色色的骗局，不禁让我颇有感触，steam防骗任重而道远。

       2009年左右，我刚刚接触网络游戏，看着网上形形色色的网游，此前只玩一些单机游戏的我就像刘姥姥走进大观园一样不由得看花了眼。在一大堆的国产仙侠和tx系网游中间，我一眼就看中了跑跑卡丁车这款游戏，跑跑卡丁车在当时还算是相当火的游戏，在线峰值虽然已经被后来者qq飞车超越，但是还有一大批忠实的玩家依然坚守在繁荣山丘的每一片赛道，就在这辉煌的时代，我也加入了跑跑的大家庭。既然开始玩了避免不了要氪金，而这一次氪金直接把我的第一个世纪天成账号给氪没了。

       还记得是当年的星星锤活动，我开启了人生的第一次氪金——整整20块大洋，那对我来说已经是全部家当，毕竟当年的我每天只会花五毛钱买一包魔法士干脆面吃。而命运也在不停的捉弄我，第一次开箱我就开到了当时几乎是最好的黑骑士Z7（玩过跑跑的朋友一定对这辆车有印象）。我当时呆坐在电脑前连呼吸都有点困难，我就觉得自己就是tm的繁荣山丘的主宰。没错，我得意忘形了，然后喜闻乐见的事发生了，有人加我好友邀请我加入他们的车队，然后发给我一个链接，让我查一下自己的战绩并给他们发过去，才是小学生而且已经上头的我哪还有智力去思考这个链接到底有没有问题，然后在一个高仿的世纪天成的官网上，我的第一个号mole。

       看到这你一定会说，这up🐖真是个沙雕，这种低级套路都会中。嘛，谁还没有个沙雕的时候啊。

        但是，自从用上steam开始，我发现这个同样的套路已经从国内游戏慢慢开始演化出了steam游戏版。接下来，我给大家盘点一下steam游戏的骗库存骗账号套路，希望大家广为转发，不要让更多的人被骗了

       在我刚接触steam时，正是这个套路最流行的时候，这个套路针对那些有着些许库存的dota2和csgo玩家（steam库存隐私公开别人就能看见你的库存物品，库存贵的人很容易被盯上），目的就是通过短时间的盗号转移你的游戏库存，等你把账号找回来的时候库存早就已经转到不知道哪里去了，想找回几乎不可能。这类诈骗手段有一个共通的手法就是需要你去点一个他给你的链接并在上面登录你的steam账号，最重要的是他会问你要登录的邮箱验证码或steam令牌，如果你把这些都如实输入，那恭喜你，nhml。

       大家可能会发现，这种骗局其实和我多年前玩《跑跑卡丁车》时遇到的差不了太多，我能不能说幸好我当初早早被骗，所以后来就防范的比较好了呢，如今骗子都开始国际化了，我们也需要更加注意了呀。

       那么如何防止这种骗术以及他的变种骗术呢？首先，你一定不要用X易的163邮箱，如果你还在用赶紧换掉吧，X讯的邮箱都行，Gmail是最好的。其次，绑定一个steam手机令牌，这是最基础的一道防线，有了手机令牌，你的库存至少不会被轻易就全部转走。

做好防御措施之后，我们就要能够发挥主观能动性，辨别出假冒的steam网站了。https://store.steampowered.com/login/，这是真正的steam登录页面，假冒的登录页面往往会改掉一些细节，比如换成了http协议，store拼成stroe，steam拼成staem等等这些方法来混淆视听。

      https://steamcommunity.com/是steam的第三方授权登录页面，辨别方式同上。如果你实在是判断不出来这个页面是真是假，那还有一个办法来辨别，你在页面中输入错的账号密码，如账号123456789，密码123456789点登录，页面还要提示你输入steam提供的登录验证码，那这个网页基本是假的了。

       凡事都有特例，这里给大家展示一个钓鱼盗号网站，就不能用随便输账号密码的方式来辨别了，前排提示，这是个钓鱼网站，千万不要去输入自己的真实账号密码，网址：5einternational.com，提示，此网站点开看看就好，别去尝试登录，如果你非要作死尝试，请用被盗了也不会有问题的小号，如有因此造成的物品或账号被盗的情况出现，本人概不负责。

      可以看到，这个网站伪装的非常好，各种网址也没有错误，还打着国内5e平台国际版的旗号，但有一个关键问题是，截图时我没有开加速器，事实上如果是真的steam第三方登录页是打不开的，而这个网站一点就能打开，假。其次，用过steam第三方授权登录的人应该都是知道的，点击网站上的“通过steam登录“的按钮后，授权登录的页面会以跳转或弹出一个独立的页面这两种方式来供你登录，前者会在你登陆成功后再次跳转回原页面，后者则是要你自行刷新页面来达到登录效果。但这个网站的页面却是在原页面上又跳出了一个框架(iframe)来显示（见上面第二张图），steam没有这种登录方式，这个框架显然是个诈骗网页。最后这个框架还有一个破绽就是这个框架的“页面名字”有问题 ，在中文操作系统环境下steam的页面都是中文显示的steam 社区的标题就是「Steam 社区」而非「Steam Community」（见上方图三）。综上，这就是一个如假包换的钓鱼盗号网。请大家不要去尝试。

       那些非常直白的发链接式诈骗一般对准的是那些有不少库存的账号，但不要认为你没什么库存就觉得无所谓，被apikey劫持了之后，你也会很麻烦。

        稍微看过csgo或者steam贴吧的水友肯定见过api劫持的例子，这里所谓的api劫持是指原本用于平台向用户发起交易用的apikey因为种种原因被骗子获得，他就能知道谁向你发起了什么报价，如果报价中含有高价物品，他就会替你拒绝那个来自平台的报价，并修改自己的id，头像以及报价时给你发的验证信息（如下图），如果你不仔细看，你的饰品就被骗子拿去了，平台会显示你拒绝了报价，出售失败，当平台再次向你发送报价是，你的饰品已经没了，你自然也就gg了。

       想要避免api劫持，最基本的就是要做到上文中的防范措施，不去点击不明链接和登录不明网站，防止自己的apikey泄露。但这次，steam手机令牌也不能防止你被骗。所以这次要你瞪大你的双眼，仔细辨别给你发送报价的那给人的个人信息（如steam等级等）是否与平台提供的一致，完全一致的才能放心发货。当然最稳妥的方式就是将所有操作都放在交易app中进行，不用打开steam，也能有效防止被骗去饰品。

       贪小便宜吃大亏，大多数的劫持和盗号都因为点了不明链接，所以一定要谨记啊！！

       这是一种存在时间非常短暂的骗术，当时也着实骗到了很多人，但这次steam官方的反应很快下架了这款“游戏”，解决了这种骗术的根源，防止了更多人上当。但很难说会不会有“文艺复兴”的那一天，这种骗术重出江湖，所以我在这里也介绍一下。

       这类骗子一般以“想要你的库存中的某些饰品，因为对他有很重要的意义”或“我想要你的某个饰品送给朋友，市场上的我都看不上，就想要你的”之类的理由向你发起交易，表面上说着“我吃些亏，我用更贵的和你换些便宜的”，其实给你的完全就是假货。这类骗子多为中国人假装的外国人，用着五毛钱汉语翻译成的五毛钱英语来向你搭讪，再翻译成五毛都不到的汉语和你谈交易，然后就会发生各种各样的意外，忽悠着忽悠着你可能就瘸了。所以使用steam中遇到所谓的“外国人”一定要慎之又慎。

       从上面的两张图中我们可以看到，这把假龙钩真的被做的可以说是以假乱真了，游戏的图标也和dota2一模一样，下面的物品描述也被改的和真品一模一样，如果你不仔细看他所属的游戏，你可能真的很容易被骗了。

       P.S.正常来说你是不会再steam市场和各类第三方饰品app上买到这些假饰品的，这类饰品的主要渠道来自陌生人向你发来的交易报价和某些开箱网站有可能以次充好，所以大家进行steam上的交易时一定要再三确定，千万不要被骗子的花言巧语迷惑了。

        百度关键字：潘多拉编号250     我是学生，能不能加500   csgo

        上面的这个例子非常极端，饰品回收虽然骗子很多，但还是有真正的大商,不管怎么样走交易平台或steam市场都是最安全的。不要贪心，你就降低了99%被骗的概率。

1.嗷呜大将，steam3年以上的深度用户一定对这个ID很熟悉，有一段时间，你会陆续收到很多ID为“嗷呜大将”头像是带圣诞帽的dota2英雄小鹿的账号发来的好友邀请，我从来没有接受过邀请，所以我也不清楚他的骗人方式，但毫无疑问这些都是诈骗号。

2.国外女性头像+ID中含有[twitch],这个不用多说，可能是国外骗子，也有可能是出口转内销的骗子

3.英文头像+欧美女性头像或二刺螈头像，与第二点同理，但点进他们的steam个人主页你会发现她们都是17，18岁的“GIRL GAMER，want to have 100friends”，还都玩着dota2，没想到啊，欧美这两年dota2打得好，dota2的诈骗盘都搞得风生水起。

       为什么我认为他们是骗子呢，点开他们的个人主页可以发现过去两周dota2时间相差都再不到一个小时，本文撰写时为两个130.2小时，一个130.7小时。且出了dota2以外的其他游戏上次游玩时间都在至少一年前，甚至有上次游戏时间已经是在2015年。

4.装作dota2 ti的发奖账号，或者某些开箱网的发奖bot，每年ti期间都会有的骗子，装作dota2官方告诉你中奖了，手段还是给你发链接（事实上，懒比v社是不可能单独开个bot账号给你发额外的奖励的），开箱网bot就是告诉你送你余额，手段依然是让你点链接领取。本节第一张图下半部分就有不少的ti8发奖bot，我的屏蔽里以前也有不少，但已经改名了。

        还有那些数字ID哥就不说了，估计正常人都不会去加好友

        以上这些就是比较常见的骗术和潜在的骗子的合集，其实骗子想要骗到你不管怎么说都是要你点链接然后在他们的钓鱼网站上登录的，只要不想着占这些小便宜，就不会落入他们的陷阱，总结3点防骗细节：

①不用163邮箱，绑定steam手机令牌，这是最最最重要的

②不点链接，不在不了解的网站上登录steam

③注意交易报价的物品细节和交易者的身份

       能做到以上三点，你就能在最极端的情况下保障你的账号安全。因为steam要充值5刀才能加好友，所以很多骗子的账号都是骗来的黑号（部分是来自中国玩过dota2，有完美世界的激活sub的就可以加好友了），有不少已经是好几年的老账号，号主被盗后不选择找回，这些号就一直在骗子手里换装成各种各样的外表骗了一波又一波的人，所以想要断掉骗子的账号来源需要我们每个人都注意自己的账号安全。

       最后，也是最大的骗子，他的名字众所周知，他堂而皇之的出现在上海，而我们却拿他毫无办法，每逢暑假和圣诞，他都会用一种新型诈骗手段让我们头脑发热的情况下自觉交出钱包，不说了，他的名字我贴出来了，大家一定要提防这种新型诈骗啊。

以上图片部分来自网络，为保护当事人隐私做了ID涂抹处理(虽然他们可能早就换id头像了)，祝各位在将要到来的圣诞促销中剁手愉快，88