正片：
首先来解释几个名词
1、API Key
这是Steam免费提供的一种接口，对于饰品相关来说，通过API可以查询你的交易报价内容（交易物品、留言等）以及【取消】和【拒绝】交易报价（记住通过API无法主动【发起】报价），API劫持诈骗核心之一
如何查看API Key

手机查询API Key

2、手机令牌
Steam手机令牌是Steam手机应用（App Store及各大应用市场可下载）最重要的一项功能，它是保护账号安全的最终防护手段，没有令牌你买卖饰品将会受到很大限制，比如交易暂挂。注意令牌不是绑定手机、下载手机应用就开启了的，要自己在手机应用里手动开启令牌功能。

3、交易URL
有人会问，既然通过API不能主动发起报价，非好友之间也无法直接发起报价，那骗子小号是如何向自己发送报价的呢？这就要提到交易URL了。Steam的机制规定非好友之间无法直接发起报价，但是通过特定的交易URL，他人就可以在尚未添加好友的情况下向你发送报价，API劫持诈骗核心之一



手机客户端查询交易URL：

4、确认
保护库存安全的最终防护手段。你在Steam市场出售、发起己方有物品的交易报价（若己方没有东西不需要确认），都需要在Steam手机应用侧边栏的“确认”一项里进行最终确认，防止库存被恶意盗取。确认功能只能在绑定了令牌的手机上使用，即使骗子盗了你的号，确认仍要号主本人进行，换句话说，自己是否被骗取决于【你自己】

常见骗术介绍：
1、【API劫持】
这是目前最为常见的骗术之一。顾名思义，API Key被骗子恶意劫持，通常是由于玩家使用Steam账号登录了钓鱼网站造成的。此时你的账号、API以及交易URL全在骗子手上，等的就是你用手机进行确认的那一步。若API Key被劫持，骗子就可获取你的交易信息，别人向你发起报价，骗子通过被劫持的API在一瞬间拒绝掉真正的报价，并通过小号换上对方的昵称、头像，向你发送伪造的假报价，在确认阶段稍微不注意核实就接受了假报价，导致被骗
P.S. 理论上来讲，点击钓鱼网站链接但不登录是不会有事的，除非你手贱去登录。但保不齐哪天骗术又升级了，所以只是点击链接也请视为API已被劫持
行骗过程：
1、骗子添加好友，声称想要购买你的某一件饰品（理由很多，包括但不限于：你中奖了，快去XX领奖、跟你组队打游戏、新网站送你XX余额等等）

2、骗子声称可以走第三方交易平台，但要求你先去“检查物品参数是否为他想要”，向你发送不明链接

3、点击钓鱼网站并登录后Steam账号被盗取，API和交易URL因此泄露，此后通过报价进行交易就会被骗
4、【①交易对象向你发送正常报价，②此时你的账号除了令牌、确认都在骗子手上，骗子拒绝掉，③同时用小号伪装成交易对象（如头像、昵称）向你发送一个一模一样的假报价】
5、【或①你向交易对象发送正常报价，②此时你的账号除了令牌、确认都在骗子手上，不等你确认，骗子立马取消掉你发送的原报价，并用你的账号向骗子的高仿号发起假报价】
5、确认时不认真核对对方信息，接受了假报价，饰品被骗
或：
在个人主页留言板下留下信息，声称想要购买你的某一件饰品（理由很多，包括但不限于：你中奖了，快去XX领奖、跟你组队打游戏、新网站送你XX余额等等），附带不明链接

预防手段：
1、拒绝添加来路不明的Steam好友。若有必要，隐藏库存，关闭留言板有需求再打开，此方法能最大限度防止陌生人向你发送好友申请



2、陌生人发来的任何东西都不要去点击，不管它是链接还是图片
3、不轻易用Steam账号登录第三方网站
4、定期检查自己的API Key，发现任何不是由本人注册的key立马注销，并更改Steam密码
5、定期更换交易URL，更新后老URL将会失效
6、认真核对交易对象信息，比如：账号注册时间、Steam等级，若有不符立即中止交易
7、Steam社区域名由英文单词steam和community组成，牢记其拼写谨防高仿Steam官网，如m写成nn，字母o写成数字0
8、在最后确认报价前，再一次检查报价中的交易对象
补救措施：
如果你发现被API劫持，甚至已经被骗走库存
1、立即【更改密码】、【取消设备授权】、【注销API】、【更新交易URL】防止二次受骗，以上四条请务必完成，不要存在侥幸心理
更改密码


取消授权


注销API、更新交易URL参见名词解释
2、向Steam客服投诉，封掉伪造账号的交易权限
找就不要想着找回来了，因为API劫持而造成的损失找回几率几乎为0。在以前向Steam客服投诉还可以为你复制一份一模一样的库存补偿，但由于此种方法被滥用于恶意复制高端饰品（那些磨损一模一样的咆哮龙狙就这么来的），现在客服不再恢复库存。

API劫持变种：
部分玩家会遇到以下情况：自己的头像变为VAC、好友被清空，“Steam客服”声称立即将被VAC封禁，但给你时间“转移有价值的库存”，急忙转移库存却发现饰品不翼而飞。此种骗术主动引诱你进行交易，而这时你的账号几乎就是被骗子控制，并在交易时下手




补救措施：
更改账号密码、取消设备授权、注销API、更新交易URL，在完成上述要求前不要进行任何交易行为

如何判断自己遭到API劫持？
1、向他人发送报价怎么都发不出去，均显示已取消
2、上面说过，通过API可以拒绝掉真正的交易报价，那么就在交易时查看报价历史里是否有被非本人取消/拒绝掉的报价，若有，那么你的账号就遭到了API劫持。你可以找一位好友试着向你发起报价（发起前请确保好友自己没被API劫持），如果你在报价历史发现了不是被自己拒绝的原报价，那么你已经遭到了API劫持（警告：部分API劫持会忽略掉价值低的报价，可能测试不出来，真正交易时则凶相毕露）

3、骗子可以模仿真正交易对象的昵称、头像甚至Steam等级，但有一点是几乎不可能模仿的：Steam注册时间（除非骗子为了钓你这条大鱼特意找了个注册时间相同的账号）。在第三方平台交易时平台会提醒你真正交易对象的注册时间，发起/接受报价时也能看到对方的注册时间，若两者不一致，这说明很有可能已经遭受API劫持，请立即中止交易。

3、【假冒第三方平台客服人员】
行骗过程：
1、骗子先添加你好友，表达出购买饰品的意图，并询问是否可以先钱便宜些
2、以各种方式向你索要联系方式并称是为了转账
3、联系方式到手后声称反悔又要求到第三方平台交易，诱导你将饰品上架至第三方平台
4、然后骗子冒充第三方平台客服人员给你打电话或者发短信，称买家已付款，按照“客服”的要求来发送报价完成交易，饰品到手就跑路
预防手段：
1、第三方平台通知发货不会通过电话形式通知，请以第三方平台APP提示为准
2、不向他人泄露联系方式
4、【延迟转账】
行骗过程：
1、提出购买你的饰品，称可以先钱交易
2、向你发送转账截图，但要么为P图，要么为ZFB延迟转账（可取消）
3、轻信对方已转账后交易饰品给对方，被骗
预防手段：
1、不信任任何先钱、先货交易
2、如果你不听劝硬是要头铁，核对好资金确确实实到账后再进行交易（极度不推荐）
5、【在闲鱼等非专业平台进行交易】
在闲鱼等非专门进行Steam物品交易的平台买卖饰品，骗子利用平台规则漏洞不发货、不给钱、以次充好等等
预防手段：
不要上这些地方交易
6、【盗刷信用卡】
骗子盗用他人信用卡信息，以盗刷得到的Steam充值卡或以极低的价格为他人充值Steam余额，导致账号交易权限被封禁
预防手段：
莫贪便宜，充值请走官方正规渠道
7、【假冒/伪造CSGO饰品】
骗子先在Steam上架一款游戏，然后为其创造可交易物品，物品的预览图、名称、描述等与真正的CSGO饰品完全一致，唯一不同的就是所属的游戏。不过在V社打击下，此类骗术几乎不再有效
假龙狙，图片来自CSGO中文网

从19卡托开始，V社发行了Major通行证，拥有通行证的玩家可获取一些聊天表情，其中有一款就是皇冠贴纸模样的表情，骗子以此物品来向你发起报价，若不注意就被骗子用一个表情骗取了真正的CSGO饰品



预防手段：
交易时点击报价中的物品，确认其是属于CSGO的饰品，而非山寨货
其他诈骗方式：
1、Cosplay
没什么好说的，冒充好友熟人、知名主播等身份跟你交易，记得找本人核实
2、网络乞丐
最直白的方式，我，打钱

UPDATE #1
先钱先货变种：
私下交易后对方声称没有收到饰品，报价头像点开是对方，无API劫持。实则对方将饰品秒上架社区市场/存入存储组件，或大小号双簧，大号加你聊，小号交易，这样你在要交易记录时就无从得到真实信息
预防手段：说了多少遍了，不要私下先钱先货交易，交易一时爽，饰品火葬场
实例1：https://tieba.baidu.com/p/6601824065（秒上架社区市场）
实例2：https://tieba.baidu.com/p/6581677651（大小号双簧）
UPDATE #2
Cosplay类：
骗子冒充成真正的信誉大商与受害者交流，声称要以物换物，并向你发送真正大商的库存链接，让受害者误认为大商的库存就是骗子的库存，但是与受害者聊天的账号却私密库存，骗子称此账号为讨论专用账号，为了防骚扰私密了库存。取得受害者信任后，后续以API劫持等方式骗取库存
预防手段：不主动添加陌生人好友、仔细核对账号信息、不点击登录任何可疑链接
实例：https://tieba.baidu.com/p/6672984300

顶

好🔥!加精

好帖，给你加精了

go吧已经臭了

支持