Steam有骗子加，一场伪装成朋友的钓鱼陷阱，steam有骗子加

最近在Steam上频繁收到陌生人加好友的请求,一开始我还以为是某个游戏群里的大佬来交流心得，结果不到三天，我就差点把价值两千块的库存拱手送人，今天就把这段经历写出来，希望能给还在Steam上愉快“买买买”和“开开开”的朋友们提个醒。

骗子的第一招：装熟卖乖，降低警惕

那天我正在刷社区市场,右下角突然弹出一个好友申请，头像是一个可爱的二次元少女，ID叫“雪落无声”，备注写着：“兄弟，在吗？之前CS:GO组队加过你，方便通过下？”

我当时有点懵——我确实玩CS:GO，但从来不记得加过这个人，之前组队”这几个字像一把万能钥匙，让我的警惕心瞬间松动了，点开他的资料页，游戏时长接近4000小时，库存里挂着几件还算体面的皮肤，徽章也不像新号，标准的高仿“老玩家”配置。

我通过了,紧接着，对方就发来一串语音消息——是个听起来很自然的男声，带着一点点东北口音：“哥们儿打一把？我拉了个朋友，差一个。”

这才是真正的“第一刀”：用真实感极强的社交语言，让你觉得拒绝很不好意思。

关键一步：钓鱼链接的“专业”话术

我没直接进游戏,先去他说的那张图里看了看——是一张社区服务器里截的宣传图，看着像模像样，这时他又发来一条消息：“对了，帮我投个票呗，我们队参加一个秋季赛，就差你这票了。”然后扔过来一个链接。

链接长这样：steamcomunity.com/contest/vote?id=xxxxx（注意，是steamcomunity少了一个m的假域名），点进去后页面完美克隆了Steam登录界面，连那个“要保持登录状态”的小勾位置都一模一样。

“骗子。”我脑子里警铃大作，但说实话，如果不是我以前在安全论坛上混过，普通人看到这个页面根本不会多想——字体、颜色、图片链接，全是真的。

你以为只是“加好友”？背后是一条成熟的产业链

后来我故意跟他周旋,套出了一些细节，这个所谓的“投票”，其实是诱骗你输入账号密码，然后他们拿到手后，再通过API劫持你的交易确认，把你库存里的饰品一键转移，整个流程只需要2-3分钟，甚至不需要你手机令牌的二次确认——因为你一旦在假页面上登录，他们的脚本会立刻用你的Cookie窃取登录状态。

更可怕的是,他们不止要你的皮肤，有些人被骗后，骗子会借用你的账号去骗你好友列表里的其他人，借着你和老朋友的信任，把整个社交圈都拖下水，这就是为什么Steam上的“好友请求骗局”屡禁不止——一个人的账号被控，就意味着至少几十个好友收到一模一样的钓鱼链接。

防骗三字经：不点、不信、不急

经过这件事,我总结了几条很实用的原则：

1. 任何需要你“登录”的链接，一律视为危险品，Steam官方只有steamcommunity.com和store.steampowered.com两个根域名，少一个字母、多一个横杠，通通拉黑。

2. 陌生人的“投票”“抽奖”“比赛”都是钓鱼饵料，真正的Steam赛事投票会在游戏内或官方客户端弹出，不会让玩家私聊发链接。

3. 不要相信“我认识你”“之前组过队”这种开场白，Steam可以查历史好友记录，如果一个人说认识你但他不在你的好友列表里，那他百分之百在撒谎。

4. 开启Steam手机令牌，绑定邮箱和手机，开启交易确认，即使密码泄露，令牌也能给你多一道防线。

写在最后

那个“雪落无声”在被我识破后，默默把我删了，但我知道他一定又换了个头像和ID，去加下一个目标了，Steam已经成为全球最大的饰品交易市场，骗子也是盯着这块肥肉来的，希望每一个打开Steam的玩家都能记住——屏幕那头的“好朋友”，可能正等着你点开那个链接。

保护好你的库存,别让辛苦攒下的皮肤成为骗子的“年度大奖”，Steam上，永远不要相信陌生人加你好友后的第一个链接。