二维码钓鱼（直播劫持）：Steam账户面临的最新威胁

多年来，Steam账户安全的标准建议很简单："切勿泄露密码，切勿泄露手机验证器代码。" 虽然这依然正确，但骗子们已经找到了一种极其简单的方法，可以同时绕过这两个步骤，利用的正是为便利而设计的功能：Steam移动应用的二维码扫描器。

这种方法，常被称为"直播劫持"或"二维码钓鱼"，在CS2社区中已变得极为普遍。以下是其具体运作方式，以及为什么你绝对不能用Steam应用扫描任何来路不明的二维码。

便利性中的漏洞

当你在新电脑上登录Steam时，可以选择使用Steam移动应用扫描显示器上显示的二维码。这是一个非常出色的便利功能。它能安全地将你已认证的会话从手机传输到电脑，而无需你输入密码或两步验证码。

然而，这个功能的前提是，显示二维码的屏幕是你自己的屏幕。骗子正是利用了这一点。

如果你扫描了由骗子电脑生成的二维码，你就是在瞬间授予他们的电脑对你Steam账户的完全、已认证的访问权限。

骗局如何展开

这种骗局严重依赖紧迫感、贪婪和看似合法的假象，通常发生在Twitch或YouTube等直播平台上。

1. 虚假直播（诱饵）

骗子会在 Twitch 或 YouTube 上开设一个直播。为了让其看起来真实可信，他们会：

• 使用知名职业选手或大型赛事主办方（例如 ESL、PGL）的名称和品牌标识，例如假冒以下选手进行直播：

• 重新播放该选手或赛事过去的高播放量录像（VOD），让直播看起来活跃且人气很高。

• 使用机器人观众人为地将观看人数刷到数千，从而将虚假直播推送到 CS2 分区的前列。

2. 诱惑（鱼钩）

在被盗用的游戏画面之上，会叠加一个巨大的图形，承诺进行赠送活动。上面通常会写着类似这样的话：

• "!掉落 - 扫码领取免费刀"
• "ESL Major 观赛奖励 - 扫码关联账户"
• "S1MPLE 告别赠送活动 - 扫码参与"

文字旁边会有一个巨大且清晰的二维码。

3. 执行（陷阱）

这种骗局依赖于你在思考之前就快速行动。

1. 你相信自己正在观看官方直播，并且想要免费皮肤，于是打开了你的 Steam 手机应用。
2. 你在应用内打开二维码扫描器，对准你的显示器。
3. Steam 应用会要求你确认一次登录。因为你认为自己正在为获取掉落而"关联"账户到直播，所以你点击了"确认"。

真相是： 直播画面上的二维码是由骗子服务器上的自动登录脚本动态生成的。当你点击确认时，你并没有将账户关联到任何赠送活动；你实际上是授权了骗子的服务器登录你的 Steam 账户。

4. 后果

由于他们使用了二维码登录方式，骗子绕过了你的密码和标准两步验证码。他们现在拥有一个活跃的、已认证的会话。几秒钟内，自动化脚本就会剥离你账户中所有可交易物品，并通过一系列中转账户网络转移它们。

如何保护自己

防范这种骗局需要在使用 Steam 移动应用时严格改变习惯。

• 二维码的黄金法则： 你 Steam 移动应用中的二维码扫描器只有一个用途：登录你控制的实体屏幕上的官方 Steam 客户端软件或官方 steamcommunity.com 网站。
• 切勿扫描来自视频、直播、Discord 消息或外部网站的二维码。
• 官方掉落物不是这样运作的。 合法的锦标赛掉落物或平台集成（如将 Steam 关联到 Twitch）是通过安全的 API OAuth 链接（点击一个按钮，将你重定向到安全的 Steam 登录页面）处理的，绝不是通过扫描视频流中的二维码。
• 核实直播： 如果一个直播声称是知名玩家赠送物品，请仔细核对频道名称。虚假频道通常有细微的拼写错误，或者缺少合法平台上的官方“已验证”标记。

二维码登录的便利性对于你自己的设备来说很棒，但如果对准了错误的屏幕，它就是一把上了膛的武器。对待 Steam 二维码扫描器，要像对待将你的实体手机交给陌生人一样极度谨慎。