Lừa Đảo Qua Mã QR (Streamjacking): Mối Đe Dọa Mới Nhất Đối Với Tài Khoản Steam

Trong nhiều năm, lời khuyên tiêu chuẩn về bảo mật Steam rất đơn giản: "Không bao giờ đưa mật khẩu của bạn và không bao giờ đưa mã Xác thực Di động của bạn." Mặc dù vẫn đúng, nhưng những kẻ lừa đảo đã tìm ra một cách đơn giản đến kinh hoàng để bỏ qua cả hai bước này cùng một lúc bằng cách sử dụng một tính năng được thiết kế cho sự tiện lợi: trình quét mã QR của Ứng dụng Steam Mobile.

Phương pháp này, thường được gọi là "Streamjacking" hoặc "QR Phishing," đã trở nên cực kỳ phổ biến trong cộng đồng CS2. Đây chính xác là cách nó hoạt động và lý do bạn tuyệt đối không bao giờ được quét một mã QR ngẫu nhiên bằng ứng dụng Steam của mình.

Lỗ hổng trong Sự Tiện lợi

Khi bạn đăng nhập vào Steam trên một máy tính mới, bạn có tùy chọn quét mã QR hiển thị trên màn hình bằng Ứng dụng Steam Mobile của mình. Đây là một tính năng tiện lợi tuyệt vời. Nó chuyển phiên đăng nhập đã được xác thực của bạn từ điện thoại sang máy tính một cách an toàn mà không cần bạn phải nhập mật khẩu hoặc mã 2FA.

Tuy nhiên, tính năng này giả định rằng màn hình hiển thị mã QR là màn hình của bạn. Những kẻ lừa đảo khai thác giả định này.

Nếu bạn quét một mã QR được tạo ra bởi máy tính của kẻ lừa đảo, bạn ngay lập tức cấp cho máy tính của chúng quyền truy cập đầy đủ, đã được xác thực vào tài khoản Steam của bạn.

Cách Vụ Lừa Đảo Diễn Ra

Vụ lừa đảo dựa nhiều vào sự khẩn cấp, lòng tham và ảo tưởng về tính hợp pháp, thường diễn ra trên các nền tảng phát trực tiếp như Twitch hoặc YouTube.

1. Luồng Phát Trực Tiếp Giả Mạo (Mồi Nhử)

Những kẻ lừa đảo sẽ thiết lập một luồng phát trực tiếp trên Twitch hoặc YouTube. Để làm cho nó trông hợp pháp, chúng sẽ:

• Sử dụng tên và thương hiệu của một tuyển thủ chuyên nghiệp nổi tiếng (ví dụ: s1mple, m0NESY) hoặc một nhà tổ chức giải đấu lớn (ví dụ: ESL, PGL).
• Phát lại một VOD (Video on Demand) cũ, có lượt xem cao của tuyển thủ hoặc giải đấu đó để làm cho luồng phát trông sống động và phổ biến.
• Sử dụng bot người xem để làm tăng nhân tạo số lượng người xem lên hàng nghìn, đẩy luồng phát giả mạo lên đầu danh mục CS2.

2. Mồi Nhử (Cái Móc)

Được phủ lên trên cảnh quay gameplay bị đánh cắp này sẽ là một đồ họa lớn hứa hẹn một sự kiện tặng quà. Nó sẽ nói điều gì đó như:

• "!DROP - QUÉT MÃ ĐỂ NHẬN DAO MIỄN PHÍ"
• "PHẦN THƯỞNG CHO NGƯỜI XEM ESL MAJOR - QUÉT MÃ QR ĐỂ LIÊN KẾT TÀI KHOẢN"
• "SỰ KIỆN TẠM BIỆT S1MPLE - QUÉT MÃ ĐỂ THAM GIA"

Bên cạnh văn bản sẽ là một mã QR lớn, rõ ràng.

3. Thực Thi (Cái Bẫy)

Trò lừa đảo dựa vào việc bạn hành động nhanh chóng trước khi suy nghĩ.

1. Tin rằng bạn đang xem một luồng phát chính thức và muốn nhận skin miễn phí, bạn mở Ứng dụng Steam Mobile.
2. Bạn mở máy quét mã QR trong ứng dụng và hướng nó vào màn hình của bạn.
3. Ứng dụng Steam sẽ yêu cầu bạn xác nhận đăng nhập. Vì bạn nghĩ rằng mình đang "liên kết" tài khoản với luồng phát để nhận drop, bạn nhấp vào "Xác nhận."

Thực tế: Mã QR trên luồng phát được tạo động bởi tập lệnh đăng nhập tự động của kẻ lừa đảo trên máy chủ của chúng. Khi bạn nhấp xác nhận, bạn không liên kết tài khoản với một sự kiện tặng quà; bạn đã ủy quyền cho máy chủ của kẻ lừa đảo đăng nhập vào tài khoản Steam của bạn.

4. Hậu Quả

Bởi vì chúng sử dụng phương thức đăng nhập bằng mã QR, kẻ lừa đảo đã bỏ qua mật khẩu và mã xác thực hai yếu tố (2FA) thông thường của bạn. Giờ đây, chúng có một phiên đăng nhập đã được xác thực và đang hoạt động. Trong vài giây, các tập lệnh tự động sẽ tước đoạt mọi vật phẩm có thể giao dịch được từ tài khoản của bạn, chuyển chúng qua một mạng lưới các tài khoản trung gian.

Cách Bảo Vệ Bản Thân

Để phòng chống vụ lừa đảo này, bạn cần thay đổi thói quen một cách nghiêm ngặt khi sử dụng Ứng dụng Steam Mobile.

• Nguyên Tắc Vàng Với Mã QR: Trình quét mã QR trong Ứng dụng Steam Mobile của bạn CHỈ CÓ MỘT MỤC ĐÍCH DUY NHẤT: đăng nhập vào phần mềm Steam Client chính thức hoặc trang web chính thức steamcommunity.com trên một màn hình vật lý mà bạn kiểm soát.
• Tuyệt đối không bao giờ quét mã QR từ một video, một luồng phát trực tiếp, một tin nhắn Discord, hoặc một trang web bên ngoài.
• Các vật phẩm rơi (drop) chính thức không hoạt động theo cách này. Các vật phẩm rơi từ giải đấu hợp pháp hoặc tích hợp nền tảng (như liên kết Steam với Twitch) được xử lý thông qua liên kết OAuth API bảo mật (bằng cách nhấp vào một nút chuyển hướng bạn đến trang đăng nhập Steam bảo mật), KHÔNG BAO GIỜ thông qua việc quét mã QR trên một luồng video.
• Xác Minh Các Luồng Phát Trực Tiếp: Nếu một luồng phát trực tiếp tuyên bố là một người chơi nổi tiếng đang tặng vật phẩm, hãy kiểm tra kỹ tên kênh. Các kênh giả mạo thường có lỗi đánh vần nhỏ hoặc thiếu dấu tích "Đã xác minh" chính thức thường thấy trên các nền tảng hợp pháp.

Sự tiện lợi của việc đăng nhập bằng mã QR rất tuyệt vời cho các thiết bị của chính bạn, nhưng nó là một vũ khí đã lên nòng nếu bạn chĩa nó vào màn hình sai. Hãy đối xử với trình quét mã QR của Steam với sự thận trọng tối đa giống như khi bạn đưa điện thoại vật lý của mình cho một người lạ.