Là một người luôn tự tin vào các biện pháp an ninh mạng của mình, từ việc sử dụng xác thực đa yếu tố (MFA/2FA) cho mọi tài khoản, đến việc thiết lập Passkey hay các ứng dụng Authenticator chuyên dụng cho Blizzard, Microsoft, và Steam, tôi vẫn không ngờ có ngày mình lại trở thành nạn nhân của một vụ lừa đảo (phishing) trên Steam. Cụ thể hơn, tôi đã bị lừa đưa thông tin đăng nhập mà tôi tưởng là Steam OpenID hợp lệ trên một trang sự kiện Counter-Strike 2 giả mạo. Câu chuyện này không chỉ là lời cảnh tỉnh cho bản thân tôi mà còn là bài học quý giá cho bất kỳ ai đang tham gia vào thế giới game trực tuyến.
Điều đáng ngạc nhiên là tôi vẫn còn mơ hồ về cách thông tin đăng nhập của mình bị chiếm đoạt. Có thể đó chỉ là session cookies bị đánh cắp, bởi vì sau khi lấy lại quyền kiểm soát, tôi nhận thấy kẻ lừa đảo không thể thay đổi email hay mật khẩu, cũng không gỡ được Steam Guard của tôi. May mắn thay, tài khoản của tôi không có tiền trong Steam Wallet hay các vật phẩm (skins) giá trị để bị chuyển đi. Tuy nhiên, với kho game đồ sộ lên đến hơn 1.300 tựa và DLC, tổng giá trị tài sản kỹ thuật số này là vô cùng lớn. Bài viết này sẽ chia sẻ chi tiết về những gì đã xảy ra, cách thức lừa đảo tinh vi đó hoạt động, và làm thế nào để bạn có thể tự bảo vệ mình khỏi những cạm bẫy tương tự trên Steam.
Kịch Bản Lừa Đảo Tinh Vi: Chỉ Vài Cú Nhấp Chuột Là Đủ
Kẻ lừa đảo chỉ cần một vài cú nhấp chuột để đưa bạn vào bẫy, đặc biệt khi chúng đã nắm được điểm yếu chí mạng: lòng tin. Câu chuyện của tôi bắt đầu vào những ngày đầu tháng 1 năm 2024, khi tôi nhận được một tin nhắn Steam từ một người bạn cũ.
Màn Kịch CS2 Và Steam OpenID Giả Mạo Y Như Thật
Tin nhắn từ bạn tôi đề nghị tôi bình chọn cho đội của bạn ấy trong một giải đấu Counter-Strike 2 để có cơ hội giành giải thưởng. Khi đó, tôi không nghĩ nhiều vì việc bạn bè nhờ vả nhau “click” để ủng hộ trong game là chuyện thường tình. Tôi đã nhấp vào liên kết, sau đó tiếp tục nhấp vào nút đăng nhập bằng Steam OpenID. Tôi còn nhớ đã chạm vào thông báo Steam Guard trên điện thoại để xác thực, bởi vì mọi lần đăng nhập Steam đều cần qua bước này. Tôi chỉ hơi bối rối khi trang bình chọn giải đấu không hoạt động như mong đợi, nhưng lại nghĩ đó là do AdBlock hoặc cài đặt bảo mật của Eero, rồi không bận tâm nhiều nữa và đi ngủ.
Trang đăng nhập Steam OpenID chính thức giúp người dùng truy cập an toàn vào các dịch vụ game.
Sáng hôm sau, tôi thức dậy và nhận được vô số tin nhắn từ bạn bè trên Steam, họ hỏi qua các mạng xã hội khác liệu đó có phải là tôi đã gửi tin nhắn cho họ hay không. Tôi nhận ra ngay mình đã bị lừa và lập tức liên hệ bộ phận hỗ trợ Steam để khắc phục. Điều đáng nói là chiêu lừa đảo này phổ biến đến mức Steam còn có một trang hỗ trợ riêng để hướng dẫn xử lý. Tuy nhiên, trước khi bị lừa, tôi chắc chắn sẽ không tìm kiếm thông tin đó, vì tôi đã tin tưởng vào tin nhắn từ một người bạn.
Tin nhắn lừa đảo được gửi từ tài khoản Steam đã bị chiếm đoạt để lôi kéo thêm nạn nhân.
Lừa Đảo Lan Truyền Qua “Vòng Tròn Tin Cậy”
Đây chính xác là cách các vụ lừa đảo phishing hoạt động: chúng chiếm đoạt một tài khoản, sau đó sử dụng nó để gửi tin nhắn đến các tài khoản khác. Nhờ “vòng tròn tin cậy” này, chúng nhận được thêm nhiều cú nhấp chuột mỗi lần. Bạn có thể sẽ không nhấp vào một tin nhắn từ người lạ, nhưng nếu đó là từ một người bạn thân mà bạn thường xuyên chơi game cùng? Rất có thể bạn sẽ nhấp mà không hề suy nghĩ. Kẻ lừa đảo biết điều này và lợi dụng nó để mở rộng mạng lưới nạn nhân của mình.
Quá Trình Khôi Phục Tài Khoản Steam Bị Chiếm Đoạt Dễ Dàng Đến Bất Ngờ
Thật may mắn, Valve đã xây dựng một hệ thống bảo mật và quy trình khôi phục tài khoản vô cùng mạnh mẽ, giúp người dùng dễ dàng lấy lại quyền kiểm soát nếu tài khoản bị chiếm đoạt theo cách này.
Valve Hỗ Trợ Khôi Phục Tài Khoản Cực Kỳ Hiệu Quả
Tôi đã từng gặp khó khăn hơn nhiều khi làm việc với bộ phận chống gian lận của ngân hàng để lấy lại tiền, so với việc khôi phục tài khoản Steam của mình. Chỉ sau vài phút nhấp vào các tùy chọn và trả lời một số câu hỏi đơn giản, tôi đã nhận được email từ Valve. Email này chứa một liên kết để thay đổi mật khẩu Steam và đăng xuất khỏi mọi thiết bị mà tài khoản của tôi đang đăng nhập.
Valve có một lượng lớn thông tin cá nhân của bạn, điều này giúp quá trình xác minh và khôi phục tài khoản trở nên rất đáng tin cậy. Nếu tài khoản Steam của bạn bị đánh cắp hoặc bạn nghi ngờ có hoạt động bất thường, hãy truy cập Steam Support, chọn mục Tài khoản Steam của tôi đã bị đánh cắp và tôi cần trợ giúp khôi phục, sau đó làm theo các câu hỏi hướng dẫn.
Lưu Ý Quan Trọng: Đăng Xuất Khỏi Mọi Thiết Bị
Việc đăng xuất khỏi mọi thiết bị là cực kỳ quan trọng. Nếu kẻ lừa đảo vẫn còn session cookies hợp lệ, chúng có thể tiếp tục gửi tin nhắn giả mạo từ tài khoản của bạn, khiến trò lừa đảo vẫn tiếp diễn ngay cả khi bạn nghĩ rằng mình đã khôi phục được tài khoản. Tôi không chắc session cookies tồn tại trong bao lâu, nhưng cách duy nhất để đảm bảo an toàn tuyệt đối là đăng xuất khỏi mọi thiết bị khi bạn thay đổi mật khẩu. Điều này cắt đứt mọi kết nối trái phép và đảm bảo bạn là người duy nhất kiểm soát tài khoản của mình.
Bài Học Đắt Giá Từ Vụ Phishing Tinh Vi: Steam Guard Cũng Không Là Đủ
Ngay cả khi tôi đã bật Steam Guard và sử dụng ứng dụng di động để xác thực 2FA, mật khẩu của tôi không bị thay đổi, tôi vẫn trở thành nạn nhân. Điều này cho thấy sự tinh vi của các chiêu trò lừa đảo hiện nay.
Kẻ Lừa Đảo Không Muốn Game Của Bạn, Họ Muốn Tiền Và Vật Phẩm Giá Trị
Tôi đã may mắn vì không có bất kỳ vật phẩm (skins) giá trị nào hay số dư trong Steam Wallet để kẻ lừa đảo có thể rút đi. Chúng không muốn game của bạn, bởi vì Valve giúp chủ sở hữu tài khoản dễ dàng khôi phục quyền truy cập. Mục tiêu của chúng là bất cứ thứ gì có thể dễ dàng chuyển nhượng và quy đổi ra tiền mặt, chủ yếu là số dư trong Steam Wallet hoặc các vật phẩm có giá trị cao trong trò chơi. Kẻ lừa đảo thường rút tiền thông qua việc mua bán trên Community Market, và Steam không thể đảo ngược các giao dịch đã thực hiện trên đó.
Cài đặt Steam Guard trên ứng dụng di động, tính năng bảo mật 2 lớp quan trọng cho tài khoản Steam.
Luôn Cảnh Giác Và Không Nhấp Vào Bất Kỳ Liên Kết Nào Trong Tin Nhắn Steam
Sai lầm duy nhất của tôi là nhấp vào một liên kết được gửi qua tin nhắn Steam. Tôi đáng lẽ phải nhận ra điều đó, vì chúng tôi thường sử dụng voice chat hoặc Discord cho mọi việc. Tuy nhiên, đó lại là một người bạn tôi nói chuyện thường xuyên, và việc nhận liên kết hay meme từ họ không phải là bất thường. Ngoài việc không nhấp vào liên kết lạ, tôi khuyên bạn không nên giữ số dư lớn trong Steam Wallet nếu có thể, vì số tiền đó sẽ bị rút cạn nếu tài khoản bị chiếm đoạt.
Phishing đang ngày càng trở nên tinh vi hơn, với các trang web giả mạo trông giống hệt bản gốc. Ngay cả khi bạn đã bật MFA, sử dụng mật khẩu mạnh, và luôn cảnh giác, bạn vẫn có thể trở thành nạn nhân. Tuy nhiên, điều đáng mừng là việc lấy lại tài khoản Steam bị chiếm đoạt khá dễ dàng, và Valve đã làm rất tốt việc bảo vệ người dùng của mình, vì suy cho cùng, họ muốn bạn tiếp tục chi tiền vào các trò chơi mới. Hãy luôn nâng cao cảnh giác để bảo vệ tài sản số của bạn trên nền tảng Steam.