盗号骗饰品这种现象已有一段时间，最近感觉有愈演愈烈的趋势，而且骗子也越来越精。我时常听到自己客户抱怨，自己兢兢业业的做生意，却被别人误以为是骗子，而实际情况明明是对方自己不小心被盗了账号及API key，以至于被骗子骗走了饰品。

首先我们来说下这种骗局常见的情况：

玩家A与商家B协商出售自己的库存。

商家B向玩家A发起报价，索要A库存里的XX饰品。

A确认了报价。A向B索要货款。

B一脸懵逼的表示，A明明拒绝了B的报价要求，怎么还来索要货款？

A气愤不已，认为B一定是在骗自己饰品，于是上截图摆证据。然而一开交易列表，猛然发现刚刚竟然有2笔报价交易记录：一笔是B索要A的库存，已被拒绝；另一笔是另一个和B同名的账号向A发起同样的报价，A确认了交易。

这种情况，并不定是B伙同骗子骗取A的库存，而是玩家A的API密钥被盗了。

实际流程如下：

骗子通过各种渠道让A访问自己的钓鱼网站（例如登录即送饰品送游戏、参加优惠活动、国服预约、骗子发送的其他链接等），登录页面伪装成了Steam官方接口登陆；

玩家A没看出区别，尝试登陆，输入了自己的Steam账号密码和手机令牌；

骗子用A的账号信息，给A的Steam帐号创建一个API key；

骗子有了A的账号信息及API key，就可以同步获取A的交易报价信息，也可以拒绝交易报价。

A正常与B交易时，骗子利用API key拒绝掉B发送的报价，并发起一个相同的报价给A，A没有多想就确认交易，以至饰品被骗。

要知道骗子一旦有了你的账号密码以及API key，你的报价信息骗子是看的一清二楚的。和你交易的对象的用户名、头像、交易内容、留言、安全码等等，骗子都可以一一复制。

被设置过的API密钥如下图：

没被设置过的如下图：

所以不想被骗的话：

交易报价时，点开对方个人资料页，检查交易方Steam64位ID是否是对方本人。早些时候骗子还经常不写留言不改安全码，现在都进化了。检查64位ID虽然繁琐但是最保险。

登陆Steam官方API密钥设置页面https://steamcommunity.com/dev/apikey检查自己的API key有没有被骗子设置过。如果在你不知情的情况下被设置了，点击【注销我的Steam网页API密钥】注销，并且修改你的密码。