最近有不少小伙伴在交易时遇到了一下问题：我是卖家，我在饰品交易平台挂售了物品，有人买下了饰品，我也点击发货了，我的饰品发货了却没有收到钱，这是为什么？

这很可能是由于误点了伪装成钓鱼网站的链接，导致泄露了api KEY，而api KEY 泄露相当于把自己的交易信息暴露给骗子，骗子可以利用盗取的api KEY劫持交易，发起虚假报价。那么究竟骗子是如何做到一步步骗取玩家们心爱的饰品的，我们通过案例来一探究竟。

1、api KEY遭到泄露后，骗子会潜伏起来，等待受害者发起交易报价。

2、当骗子检测到受害者作为卖家发送交易报价时，骗子的机器人（脚本）就会启动。

3、由于泄露了api KEY，骗子机器人（脚本）可以随意取消\发起受害者的报价。

4、为了加强欺骗性，机器人脚本会复制正常买家的头像和Steam昵称，在外观看别无二致。

5、此时，骗子机器人（脚本）取消【卖家】与【正常买家】的【正常报价】同时发出一个【卖家】与骗子【虚假买家】的【虚假报价】，并接受虚假报价。这里的正常报价与虚假报价内容完全相同，但是收货人从正常买家变成了骗子，而骗子的头像与昵称与正常买家相同，因此极具欺骗性。

6、此时，交易平台会提醒卖家发货。

7、这时需要卖家确认发货，平台会提示核对买家信息。

8、此时正常流程需要去Steam确认令牌，此时打开Steam APP会发现一个待确认的报价。

9、这个报价并非与正常买家的正常报价，而是骗子发起的虚假报价。此时打开报价记录，可以发现正常报价已经被取消。

10、如果此时不注意核对加入Steam日期，直接点击确认，就会向骗子发送错误报价。

以上只是api劫持中较常见的情况，骗子的机器人（脚本）也在变化，诱导点击的钓鱼链接也在变化，那么我们该如何预防并避免我们心爱的GOGO饰品损失呢？

1、防患于未然。不要点击任何陌生人的链接，陌生的Steam好友请求请勿接受。

2、交易在平台。请按照提示要求在APP内进行操作，请勿自行打开Steam App处理报价。

3、时间再确认。按照要求提示操作时，我们会提示您确认买家的Steam注册时间，这也是买家与骗子最明显的区别。（骗子的昵称和头像会伪装成正常买家）。此时如果发现确认令牌时买家的Steam注册时间与APP内提示不一致，及时终止一切交易！并第一时间联系客服解决。

特别提示：如果在确认令牌时发生错误，也请再次确认加入Steam时间。

如何识别钓鱼链接

注意：任何奇怪的链接，陌生人发来的网址都请不要点击，更不要在网站上登录自己的Steam账号！，以下网站均为经典的钓鱼链接网站，包括但不限于以下类型：

①伪装成Steam社区页的钓鱼网站

②伪装成xx投票的钓鱼网站

③伪装成战队官网的钓鱼网站

④伪装成饰品平台的钓鱼网站

再次提醒，不要点击不明链接，不要随意加Steam好友！

作为卖家，出售物品请务必确认买家Steam注册时间！请在全程在APP内操作！

发生api劫持后，卖家的Steam账号、密码、交易链接、api KEY等信息均有安全风险，请务必修改账号密码以及重置交易链接、api KEY。

若在交易过程中遇到同一笔交易需要确认多次的情况，也需要在Steam令牌中确认对方的【加入Steam的日期】，以防劫持者绕过平台进行诈骗。

api被劫持后如何避免损失？

发现api  KEY被劫持后，第一时间千万不要再发起其他报价。

如发现账户异常，第一时间修改Steam密码，并重置交易链接，API key等信息。将信息重置后再进行饰品交易。

饰品千千万，防骗第一条；

链接请勿点，时间要确认；

安全意识立，黑盒来操作；

发现被劫持，密码信息改。