Tài khoản Steam có chứa rất nhiều món đồ giá trị, từ hàng trăm đến hàng chục triệu đồng. Chính vì thế mà các hoạt động lừa đảo trên nền tảng này diễn ra cực kì sôi động. Song nổi bật nhất trong số đó chính là ‘Steam API key scam’. Đây được xem là hình thức lừa đảo cao cấp nhất và cực kì khó đối phó. Đối tượng hướng đến là các bạn mới tham gia vào nền tảng trao đổi trên Steam, bởi bộ phận người dùng này còn thiếu rất nhiều hiểu biết trong quá trình mua bán, trao đổi trên nền tảng này.
1. Steam API Key Scam là gì?
Bản chất của Steam API Key Scam.
Steam API Key không thể dùng để trực tiếp đánh cắp vật phẩm trong tài khoản Steam của bạn. Bởi vì nó không có chức năng gửi hay hủy trao đổi trên Steam. Đây là điều mà trước giờ chung ta luôn nhầm lẫn. Steam API Key chỉ có thể dùng để xem các trao đổi hiện có trong tài khoản Steam mà thôi. (Xem thêm: Steam API Key là gì? Chức năng của Steam API Key)
Vậy nếu không phải do lộ Steam API Key thì bản chất thực sự của hình thức scam này là gì?
Thực chất, hình thức scam là một chuỗi hành động trong đó đầu tiên scammer sẽ tìm cách để chiếm quyền kiểm soát acc Steam của bạn. Và khi có trao đổi diễn ra, scammer sẽ nhanh chóng tạo trao đổi giả mạo tương tự với các trao đổi mà bạn đang thực hiện. Để chuyển vật phẩm của bạn sang Steam của kẻ lừa đảo. Hình thức này có thể nói là cực kì tinh vi mà chỉ khi bạn đã bị mất đồ rồi thì mới phát hiện ra mình mắc phải scam.
Chi tiết quá trình này diễn ra như thế nào.
Kịch bản của hình thức scam này diễn ra như sau.
Trước tiên, scammer sẽ tìm cách lừa bạn đăng nhập acc Steam vào một website lừa đảo do chính scammer tạo nên để chiếm quyền kiểm soát tài khoản.
- Có khá nhiều cách để scammer làm việc này, nhưng dễ nhất vẫn là “quảng cáo” đến bạn rằng bạn vừa ‘trúng một con dao’, đăng nhập vào ‘web xyz để nhận skin miễn phí’, hay đơn giản hơn là đề nghị một ‘trao đổi có lợi’ cho bạn. Đánh trúng tâm lý của đa số người dùng: Có lời, Đồ miễn phí.
- Các tình huống trên đều hướng bạn đến việc đăng nhập acc Steam của mình vào 1 trang web lừa đảo do chính scammer dựng nên.
- Sau khi đăng nhập, bạn sẽ không nhận được gì cả, tài khoản steam cũng tạm thời không bị mất gì nên bạn nghĩ là an toàn và bỏ qua.
- Nhưng thật ra, scammer đã có được quyền kiểm soát tài khoản của bạn rồi đấy.
Tiếp theo, scammer sẽ tạo một API Key và sử nó để theo dõi lịch sử trao đổi đồ của bạn để làm “ảo thuật”, hoặc thậm chí scammer còn đổi hẳn thông tin Trang cá nhân Steam của bạn thành kiểu “Acc Steam này sắp bị Ban trade, cho bạn 30 phút để gửi skins giá trị qua bạn bè NGAY để tránh mất skins.” => Tạo tâm lý vội vàng để bạn mất kiểm soát.
Và màn “ảo thuật” bắt đầu:
- Khi bạn gửi trao đổi đồ cho một người bạn trên Steam.
- Ngay lập tức, scammer sẽ đổi Tên & Avatar acc Steam của mình giống với steam của người bạn đang trade cùng. (Auto đổi thông tin chỉ mất 1 giây, vậy nên không có gì ngạc nhiên ở đây cả nhé.)
- Và trong thời gian bạn vào app Steam để xác nhận gửi trao đổi đồ, scammer sẽ hủy trao đổi thật đi, và gửi một trao đổi giả mạo giống 1 vs 1 với trao đổi bạn đang thực hiện.
- Nhưng giờ đây, người nhận lại là tài khoản Steam của kẻ lừa đảo. Do cùng tên + avatar nên bạn vẫn nghĩ đang trao đổi với đúng người và xác nhận. Thế là mất đồ!
2. Ba bước xử lí cực dễ khi gặp phải Steam API key scam.
Trước tiên, bạn cần lấy lại toàn quyền kiểm soát tài khoản Steam của mình theo 3 bước sau:
- Bước 1: Thay đổi mật khẩu. (Xem thêm bài viết: Cách đổi mật khẩu Steam không bị khóa trao đổi)
- Bước 2: Thoát tài khoản Steam trên mọi thiết bị đã từng đăng nhập.
- Chuyển đến: Account details -> Manage Steam Guard -> Deauthorize all other devices
- Bước 3: Thu hồi mã Steam API key đang bị sử dụng.
- Các bạn vào trang quản lý API key: https://steamcommunity.com/dev/apikey
- Chọn Revoke My Steam Web API Key để thu hồi mã API đang bị scammer lợi dụng.
Như vậy chúng ta đã hoàn thành việc khôi phục quyền kiểm soát acc Steam trước các website lừa đảo qua API key. Tài khoản của bạn hiện đã an toàn tuyệt đối.
3. Mẹo thực hiện trao đổi an toàn trên Steam
- Luôn đối chiếu ngày tham gia steam của đối phương khi Gửi trade trên web và khi Xác nhận trên điện thoại để đảm bảo trade đúng người.
- Khi phát hiện không trùng khớp, rõ ràng là bạn lại login nhầm vào 1 trang lừa đảo nào đấy và mắc phải Steam API Key scam. Lúc này, bạn chỉ việc thực hiện lại 3 bước ở mục thứ hai để lấy lại quyền kiểm soát tài khoản của mình.