面對Steam盜號的巨大黑色利益鏈條，作為玩家如何自保？

來自專欄觸樂297 人贊了文章

要談如何防範Steam盜號，自然要從這一現象背後的產業鏈說起。

作者丨Inversion

最近半年以來，Steam賬號被盜已經成了高發事件，基本上每天都能在貼吧中看到幾個因賬號被盜而求助的玩家，我身邊的不少同事、朋友也都中了招。有些人費儘力氣找回了賬號，可號上已經掛著紅色的VAC或開發者封禁字樣。

賬號中出現VAC或開發者封禁後，不管這些違規行為是不是在賬號被盜情況下發生的，封禁都無法申訴，也無法解除，會永久性地顯示在玩家的個人資料頁面中，不僅一些聯網遊戲玩不了，好友也沒人加，基本上等於廢了。有的人因此放棄了舊號建新號，但經常是新號沒過幾天又被盜走，重蹈覆轍。

這就是本文的主題，為什麼盜號者如此猖獗，Steam盜號又怎麼防範呢？要說明這些問題，首先要從Steam盜號這一現象的背後產業鏈談起。

丨　為什麼要盜取Steam賬號？

Steam賬號的安全性一直被詬病，在2015年以前賬號是沒有任何保護措施的，只靠用戶名和密碼就能登錄，當時因為黑客瞄準了《CSGO》和《Dota 2》的飾品庫存，被盜號的案例數不勝數，直到Steam出台了「郵箱驗證交易」以及「市場交易暫停7天」等措施後，盜號現象才有所收斂。隨後，Steam又推出了「手機令牌驗證市場交易」和「保護登錄」等措施，即便如此，在2015年末Steam官方發布的聲明中，還是提到了平均每個月有7.7萬個賬戶被盜。

總的來說，在2017年之前，盜號者的首要目標都是《CSGO》和《Dota 2》的庫存，同時也瞄準Steam餘額，盜號者會用掛第三方網站的手段將餘額和庫存變現，謀求經濟利益。

不幸中的萬幸是，這種盜號一般都只讓賬號的原擁有者蒙受經濟損失，一般情況下，盜號者也不會為了在遊戲中享受作弊快感而去盜號，因為如果賬戶被VAC封禁，會導致這個賬戶中的虛擬財產無法交易，這對盜號者有百害而無一利。這個時期，盜號者和被盜對象主要都是外國人或外服玩家，因為相比後來的《絕地求生：大逃殺》，《CSGO》和《Dota 2》在中國區的熱度只能說一般，中招者相對來說就不算多了。

事情在《絕地求生》走紅之後出現了變化。2016年末，中國區Steam活躍賬號數量為1150萬，但伴隨著《絕地求生》在中國區的暢銷，活躍賬號數量開始飆升，2017年7月已經達到2000萬，2018年1月更是達到4000萬，躍居世界首位。與此同時，盜號、黑號的數量開始瘋狂增長，在短短半年之內，這個黑色產業形成了組織嚴密的產業鏈。

從2017年年中開始，盜號的風向開始轉變，從倒賣賬號里的財產變為和外掛綁定進行販賣。也就是說，盜號者的目標是盜取遊戲庫中添加了《絕地求生》遊戲的賬號，尤其是沒有手機令牌的弱密碼賬號，修改郵箱、手機等密保手段之後，捆綁上外掛，轉手當做黑號，以低廉的價格賣掉，賺取利潤。

這樣，購買黑號的玩家既避免了開掛時自己的賬號被封，又能以低廉的價格玩到價值98元的《絕地求生》，盜號者更是沒有任何風險，怎麼看都是雙贏的交易。

所謂黑卡，玩手游的朋友們應該很熟悉，就是被盜刷的信用卡，因為從盜刷到信用卡公司或卡主發現並拒付這筆支出，一般會有1到3天的時間差，因此在這段時間內，通過盜刷購買的《絕地求生》還是可以正常遊玩的，當然在這短短几天內，被盜賬號往往就會因為開掛而被封。

從2017年12月開始，由於Steam社區在國內無法訪問，給了很多盜號者新的可乘之機，因為國內新的「吃雞」玩家大多不能方便地註冊新賬號，所以自然會尋求購買賬號遊玩。此外，開掛又被封號的人需要新賬號繼續開掛，許多人花不起98塊但還想玩「吃雞」，加之還有藍洞誤封等原因，導致國內黑號的市場需求源源不斷，自然就造成了Steam盜號現象頻繁發生。顯然，在這一波盜號潮當中，也以國內盜號者盜取中國區賬號的情況更為猖獗。

必須指出的是，Steam的運營目前並不受到國內法律的保護。如果對象是在國服的網路遊戲，比如《魔獸世界》或《地下城與勇士》，都是不太可能有如此巨大的盜號市場的，因為一旦發現，很快就會被有關部門處理。相反，Steam的盜號者沒有任何顧忌，也不會受到懲罰，所以這也同樣促成了盜號行為的極度泛濫。

丨　盜號者是如何盜取Steam賬號的？

前面已經提到了，Steam賬號的安全性十分薄弱，2015年以前，最常見的盜號方式是使用釣魚鏈接。像流傳甚廣的「加一下我們領隊，她會告訴你更多」這種「bot」發言，就是盜號機器人加好友之後群發消息，再給出一個釣魚鏈接，誘導玩家輸入自己的Steam賬號和密碼來完成盜號。當然，這種騙術一般都針對《CSGO》和《Dota 2》，也多數都是外國盜號者所為。

目前這類騙術仍舊存在，最常見的釣魚鏈接主打「《絕地求生》老兵回歸」——在騰訊官方出了「老兵回歸」活動之後，這種釣魚郵件層出不窮。其原理也是一樣的，盜號者群發釣魚郵件到QQ郵箱，誘騙用戶輸入Steam的賬號和密碼，甚至順便還能把QQ號一併盜走。

以上這兩種釣魚都是比較基礎的騙術，稍微有些網路經驗的人都不會中招。

接下來是稍微複雜一些的手段，但也同樣容易防範，這就是「掛馬」。不法分子會通過外掛、加速器等軟體傳播盜號木馬，掛馬盜取的除了Steam賬號之外，還有玩家電腦里的其他許多賬號，危害很大。

防範惡意網站、惡意文件等掛馬是比較容易的，尤其是在免費殺毒軟體普及的今天，但有一個地方是沒有殺毒軟體防護，甚至是很容易被記錄鍵盤數據的，那就是網吧。

如今網吧中Steam客戶端被魔改的程度超乎常人想像，諸如「吃雞」助手、「吃雞」加速器、5元空號、1元租號之類的置入廣告層出不窮。由於國內「吃雞」玩家對新號的需求量極大，網吧Steam上展示的小廣告自然而然地成了一些玩家的選擇，這可能會是你邁向被盜號和買黑號的第一步。

要注意的是，Steam賬號的最高許可權屬於初始郵箱，也就是說，光有賬號和密碼的人只是得到了使用權而已。許多用5元空號購買《絕地求生》的玩家經常會發現，自己的賬號再也登不上去了，那是因為擁有初始郵箱的盜號者把密碼改掉，轉手再把這個買了「吃雞」的賬號賣出去，空手套白狼。

此外，如果你有自己的Steam賬號，在沒有殺毒軟體保護的網吧里也會經常遇到諸如「鍵盤記錄器」等惡意軟體的侵害，一些魔改的Steam客戶端也注入了許多惡意進程，Steam賬號的安全仍然會受到很大威脅。

最後要說最有效的盜號手段——盜取郵箱。由於Steam賬號的最高許可權屬於初始郵箱，無論之後如何更改郵箱和手機號，初始郵箱擁有者憑藉初次購買的截圖永遠可以發起申訴，找回賬號。這也意味著，如果郵箱被盜，盜號者可以繞過賬號、密碼，直接獲得賬號的所有許可權，此時手機令牌也毫無作用。

通常，盜號者的操作神不知鬼不覺，他會將申訴以及解綁手機密碼、更換郵箱等步驟的所有郵件都刪掉，再將恢復賬號的次數嘗試到上限，這樣，玩家就無法在12小時內快速恢復賬號。玩家發現自己無法登錄Steam時已經為時已晚，等到這12個小時過去，找回的賬號多半早就因為開掛被封了。

至於盜號者是如何盜取郵箱的，最常見的方法是直接撞庫。因為網易郵箱在2015年有一次大規模的資料庫泄露事件，波及賬號接近5億個，很多盜號者直接用這些數據進行比對，盜取郵箱。此外，其餘的國內郵箱也有不同程度的數據泄露，如果你恰好使用這些郵箱進行註冊，且事後沒有改過密碼，那麼很容易通過簡單的比對就被盜號。

另外，目前針對單密碼保護的郵箱，尤其是弱密碼郵箱，暴力破解並非難事。當然也有盜號者會用泄露的資料庫直接撞Steam賬號，因而一些習慣用單個賬號、密碼的玩家就難免會中招。其次就是通過各種渠道掛木馬，引導用戶中病毒來盜竊賬號，這種方法就不再贅述了。

總的來說，Steam賬號本身安全措施就比較薄弱，手機令牌在關鍵時刻作用有限，也沒有現代App常用的諸如手機驗證碼、掃描二維碼或推送一鍵登錄等功能。再加上很多用戶對於Steam賬號的許可權和處理不甚明了，也沒有查閱郵箱的習慣（甚至連郵箱推送都沒有），無法在第一時間發現賬號被盜，這些都給了盜號者可乘之機。

丨　玩家如何防止被盜號？

明白了原理，接下來談談如何保護個人的Steam賬號。對於較為簡單的釣魚網站和鍵盤記錄等盜號手段而言，採用手機令牌還是有效的，它生成的動態密碼可以有效地阻攔盜號者。但很多人因為怕麻煩，或不知道如何綁定Steam手機App，也就沒有綁定令牌，甚至不知道手機上還有Steam客戶端，就很容易導致賬號被盜。目前使用Steam手機令牌的簡便方法是使用網易UU加速器手機版，可以免費加速手機Steam客戶端從而連上手機令牌。

對於郵箱密碼的保護，目前最好的辦法就是綁定相關的手機App安全中心。無論是網易、QQ還是新浪郵箱，都有對應的安全中心可以使用，採用掃二維碼或者兩步驗證的方式，都可以有效地阻止異地以及新設備的訪問，進而保護自己Steam賬號的安全。更保險的方法是用境外郵箱，如Gmail等，註冊Steam賬號，可以有效避免郵箱被破解，但是如果已經使用了國內郵箱進行註冊，也沒必要強行換成境外郵箱地址。

由於很多人沒有查閱郵件的習慣，為手機安裝郵箱客戶端並及時更新推送是十分有必要的，這樣可以第一時間獲知是否有異常郵件或異常登錄出現，可以有效地將損失降到最低。

丨　寫在最後的話

綜上所述，我們可以繪製出一幅Steam盜號過程的流程圖（黑色部分為盜號者行為，紅色部分為玩家行為）：

不難看出，這條產業鏈不同於一般有頭有尾的流程圖，而是一種循環：只要黑號的市場需求持續存在，玩家又沒有足夠的賬號保護意識，這個產業鏈就會永遠地循環下去。由於Steam不受我國法律保護，盜號者也很難被追究法律責任，所以這條巨大的黑色產業鏈仍然會長時間地存活下去。

對於玩家來說，不僅需要了解Steam賬號的安全措施，不讓自己購買的遊戲付之東流，也要拒絕Steam賬號交易，因為這種交易不僅安全性低，且會損害其他玩家的利益。套用一句老話，「沒有買賣，就沒有殺害」，如果人人都不購買Steam賬號，那麼相關的黑色產業也會逐漸萎縮乃至消失。

目前，Steam社區在國內無法訪問，如果你沒有其他方法註冊Steam賬號，推薦使用Steamcommunity_302軟體來進行設置，一鍵即可登入Steam社區進行註冊。請牢記：Steam賬號不需要付費，註冊完全免費，購買遊戲也不需要代充值，更不要把賬號、密碼交給他人。

如果自己的賬號已經被盜，那麼可以嘗試用以下方式進行找回：

最後提醒各位，VAC和開發者封禁都是無法消除的，會永久以紅色字體顯示在個人的Steam頁面上，所以請各位愛惜自己的Steam賬號，也珍惜自己購買的每個遊戲，不僅要注意保護自己的郵箱和Steam賬號安全，也不要開掛和進行賬號買賣。最後的最後，衷心希望大家能遠離盜號，享受遊戲。

原文鏈接：面對Steam盜號的巨大黑色利益鏈條，作為玩家如何自保？

關注觸樂專欄，閱讀更多優質遊戲文章與深度報道。