Là một người dùng luôn coi trọng các biện pháp bảo mật trực tuyến, tôi tự tin rằng mình có những thói quen an toàn thông tin khá tốt. Tôi sử dụng xác thực đa yếu tố (MFA) hoặc xác thực hai yếu tố (2FA) cho mọi dịch vụ có thể, áp dụng passkey trên mọi nền tảng hỗ trợ, và thiết lập ứng dụng xác thực cho các tài khoản quan trọng như Blizzard, Microsoft, hay Steam. Thế nhưng, tôi vẫn trở thành nạn nhân của một vụ lừa đảo trực tuyến trên Steam. Chính xác hơn, tôi đã bị phishing trên Steam khi truy cập một trang sự kiện Counter-Strike 2 giả mạo và bị lừa nhập thông tin đăng nhập Steam OpenID mà tôi nghĩ là hợp lệ. Tất nhiên, chúng không hề hợp lệ.
Tôi nhớ có một thông báo từ Steam Guard, nhưng một lần nữa, tôi nghĩ đó là trang Steam OpenID thật và không có bất kỳ dấu hiệu nào cho thấy nó là giả mạo. Trang web hiển thị trong cửa sổ trình duyệt thông thường, không phải trình duyệt tích hợp của Steam. Nó có nút “Sign in with Steam” quen thuộc, và tôi thậm chí không nhớ mình đã nhập mật khẩu hay tên người dùng, vì đó là trình duyệt tôi luôn dùng để mua sắm trên Steam, nên nó đã có sẵn cookie phiên đăng nhập. Đừng bao giờ đăng nhập vào Steam trên các trang web của bên thứ ba, dù là để kiểm tra chi tiêu Steam, thời gian chơi, bỏ phiếu giải đấu eSports hay bất kỳ mục đích nào khác. Và không, những tin nhắn về thẻ quà tặng Steam trị giá 50 USD cũng không có thật đâu.
Nhìn lại, có lẽ chỉ có cookie phiên đăng nhập bị chiếm đoạt, vì những kẻ tấn công đã gửi tin nhắn cho hầu hết danh sách bạn bè của tôi trước khi tôi kịp giành lại quyền kiểm soát từ Steam Support. Chúng dường như không thể thay đổi bất kỳ cài đặt nào như email hay mật khẩu, cũng như không thể gỡ Steam Guard. Tôi đã may mắn khi không có tiền hoặc vật phẩm (skins) nào trong tài khoản để bị chuyển đi. Tuy nhiên, tôi sở hữu khoảng 1.300 trò chơi và DLC, tổng giá trị tài sản kỹ thuật số này là một con số đáng kinh ngạc.
Dưới đây là những gì đã xảy ra, để bạn biết mình nên cảnh giác điều gì và mức độ tinh vi của các trang web lừa đảo trực tuyến hiện nay.
Chỉ vài cú nhấp chuột, tôi đã sập bẫy tinh vi như thế nào?
Trang lừa đảo trông rất thật, và thậm chí còn giả mạo đăng nhập Steam OpenID.
Trang Steam OpenID hợp lệ trên trình duyệt web
Đó là những ngày đầu tháng 1 năm 2024, tôi có lẽ đang chìm đắm trong dư âm của đêm Giao thừa khi nhận được một tin nhắn trên Steam từ một người bạn cũ. Họ muốn tôi bình chọn cho bạn bè của họ trong một giải đấu CS2 để họ có cơ hội giành giải thưởng nào đó. Lúc đó, tôi không nghĩ nhiều về nó; chúng tôi vẫn thường xuyên nhờ nhau nhấp vào các liên kết để giành giải thưởng, nhưng giờ thì mọi chuyện đã khác.
Tôi nhấp vào liên kết, sau đó nhấp vào nút đăng nhập OpenID của Steam, và có lẽ đã chạm vào Steam Guard trên điện thoại vì mọi lần đăng nhập Steam đều được xác thực theo cách này. Tôi hơi bối rối khi trang bình chọn giải đấu không hoạt động như mong đợi, nhưng tôi nghĩ đó là do AdBlock hoặc cài đặt bảo mật của Eero, không bận tâm nhiều và đi ngủ.
Tin nhắn lừa đảo từ tài khoản Steam bị chiếm đoạt
Sáng hôm sau, tôi tỉnh dậy với rất nhiều tin nhắn từ bạn bè trên Steam, những người đã liên hệ với tôi qua các mạng xã hội khác để hỏi xem có phải tôi đã gửi tin nhắn đó không. Rõ ràng là không, nên tôi hoảng sợ trong vài phút và nhanh chóng truy cập Steam Support để khắc phục. Kiểu lừa đảo này phổ biến đến mức Steam đã có một trang hỗ trợ riêng biệt cho nó. Tuy nhiên, tôi sẽ không bao giờ tìm kiếm trang đó trước khi nhấp vào một liên kết từ một người bạn đáng tin cậy.
Và đó chính xác là cách các chiêu trò này hoạt động: Chúng chiếm đoạt một tài khoản, sau đó sử dụng nó để gửi tin nhắn đến các tài khoản khác. Nhờ “vòng tròn tin cậy” này, chúng nhận được nhiều lượt nhấp hơn mỗi lần. Bạn sẽ không nhấp vào tin nhắn từ một người lạ, nhưng từ một người bạn mà bạn chơi game cùng mỗi tuần? Chắc chắn rồi, mà không cần suy nghĩ.
Hành trình khôi phục tài khoản Steam: Nhanh chóng và hiệu quả bất ngờ
May mắn thay, Valve đã có một quy trình bảo mật và khôi phục tài khoản vô cùng mạnh mẽ nếu chúng bị chiếm đoạt như trường hợp của tôi. Tôi đã gặp khó khăn hơn khi yêu cầu ngân hàng hoàn tiền từ bộ phận chống gian lận của họ, so với việc lấy lại tài khoản Steam của mình. Chỉ sau vài phút nhấp qua các tùy chọn và trả lời câu hỏi, tôi đã nhận được email trong hộp thư đến với một liên kết để thay đổi mật khẩu Steam và đăng xuất khỏi mọi thiết bị mà tôi đã đăng nhập.
Thực tế rất khó để ai đó khóa bạn khỏi tài khoản Steam của mình, vì Valve lưu trữ rất nhiều thông tin cá nhân của bạn để xác minh khi khôi phục. Để lấy lại quyền truy cập, bạn chỉ cần truy cập Steam Support, nhấp vào mục “Tài khoản Steam của tôi đã bị đánh cắp và tôi cần trợ giúp để khôi phục nó” và làm theo các hướng dẫn.
Phần quan trọng nhất là phải đăng xuất khỏi mọi thiết bị. Nếu kẻ lừa đảo vẫn còn cookie phiên, chúng có thể tiếp tục gửi tin nhắn giả mạo bạn, và vụ lừa đảo sẽ tiếp diễn trong khi bạn nghĩ rằng mình đã khôi phục tài khoản. Tôi không chắc cookie phiên tồn tại trong bao lâu, nhưng cách duy nhất để đảm bảo an toàn là đăng xuất khỏi mọi thiết bị khi bạn thay đổi mật khẩu.
Bài học đắt giá: Steam Guard không phải là lá chắn vạn năng chống lại phishing
Mặc dù tôi vẫn luôn bật Steam Guard, với xác thực 2FA được thực hiện bởi ứng dụng Steam trên điện thoại thông minh, và mật khẩu của tôi không hề bị thay đổi. Nói cách khác, tôi đã may mắn, và tôi cũng không có bất kỳ vật phẩm (skins) hay số dư trong Steam Wallet để bị rút cạn. Vì vậy, những kẻ lừa đảo chỉ gửi một loạt tin nhắn đến danh sách bạn bè của tôi để cố gắng tìm kiếm một mục tiêu béo bở hơn. Chúng biết rằng Valve giúp chủ sở hữu dễ dàng khôi phục tài khoản của họ, và chúng không muốn trò chơi của bạn, mà chỉ muốn bất cứ thứ gì chúng có thể chuyển đi.
Sai lầm lớn nhất của tôi là nhấp vào một thứ gì đó được gửi qua tin nhắn Steam. Tôi lẽ ra phải biết, vì chúng tôi thường sử dụng chat thoại hoặc Discord cho mọi thứ, nhưng đó là một người tôi nói chuyện thường xuyên, và việc nhận liên kết hoặc meme từ họ không phải là điều bất thường. Ngoài việc không nhấp vào các liên kết đáng ngờ, tôi khuyên bạn không nên giữ số dư trong Steam Wallet nếu có thể, vì số tiền đó sẽ bị rút cạn. Valve không thể đảo ngược các giao dịch trên Community Market, đó là cách những kẻ lừa đảo chiếm đoạt tiền của bạn.
Chiêu trò phishing ngày càng tinh vi và khó lường
Tôi luôn cảnh giác với các nỗ lực phishing, báo cáo bất kỳ email đáng ngờ nào trước khi gửi chúng vào thư rác, và tôi vẫn bị lừa. Điều đó không có nghĩa là tôi đã ngu ngốc hay cẩu thả, mặc dù có một phần như vậy. Vấn đề là điều này có thể xảy ra với bất kỳ ai, và nếu tin nhắn đến từ một người bạn đáng tin cậy, việc nhận ra chiêu trò lừa đảo sẽ còn khó khăn hơn nhiều.
Ngay cả khi đã bật MFA, sử dụng mật khẩu dài và độc đáo, cùng với sự cảnh giác cao độ, tôi vẫn trở thành nạn nhân. Tin tốt là việc lấy lại một tài khoản Steam bị chiếm đoạt rất dễ dàng, và Valve bảo vệ khách hàng của mình rất tốt trong vấn đề này, vì họ muốn bạn tiếp tục chi tiêu tiền cho các trò chơi mới.
Hãy chia sẻ kinh nghiệm của bạn về các vụ lừa đảo tương tự và cách bạn đã phòng tránh hoặc khắc phục!
