前情提要

本来这篇文章可能只会在我的博客（https://szczecin.github.io/）里出现，但是嘛，一方面希望这篇文章的内容能被广知，另一方面更新博客的话我大半年多来的技术文章也要同步上去不然显得内容空乏啥的想想就烦于是偷懒之后再说啦~

一切开端

昨天也就是2023年4月28日晚上，加班好不容易回家的我正在金之间被联动C.C薄纱时，一位名叫Kokuro（https://steamcommunity.com/id/Yeshuri/）的老哥添加了我的好友，并且询问是否是我购买了他的匕首：

我不造啊！卧槽我的号被盗了？我还在金之间呢怎么这局南4打了4个回合啊！老哥等我打完看看究竟怎么回事！

我非常忐忑的打完了金之间，毫无悬念的吃4了，其实在对局的时候我就快速地确认了一下我的Steam余额、银行卡余额、支付宝余额、微信余额、花呗……但是无一例外地没有减少

那么，真相只有一个了！这位老哥没有收到钱，被Steam交易坑了，有人冒充我，或者是卡到了什么BUG……总之，我只能先和Kokuro解释发生了什么，并且告知他可能是Steam的交易接口有漏洞，有人劫持了交易并且把购买人的id替换成了我，希望他快点联系Steam，心里不要太难受

“Если жизнь тебя обманет, Не печался,не сердись”

“假如生活欺骗了你，不要悲伤不要心急”

Kokuro眼含着泪水，告诉我，他理解了一切，但是，在这之前，他以为我对他进行了诈骗，毕竟他在和“我”的交易中一分钱没有得到，他已经向Steam提交了对我的举报，请求把我的账号Ban掉了

纳尼？！别搞我啊！我是无辜的，我游戏库里的小黄油老头环还没开封过啊，不能这样！Kokuro你就不能撤回申诉吗QAQ？

“淡定，还有救，按照Steam的说法，你的账号在48h后会被冻结，你快也向Steam提交解释说明，说这对于你来说是一场误会……”

说到中篇

说时迟，那时快，我立刻奋笔疾书，依稀拼凑起写英语作文时零散的记忆（感觉好对不起一路来教过我的老师们），写下了一封邮件，寄给Steam，邮件中我说明了事件，并且指出了可能存在的安全问题，还有希望能安慰一下因为安全漏洞导致财产损失的Kokuro：

再在Chat上给Kokuro点安慰，我便想休息睡觉了（人老了，熬不住了，不像你们美国小年轻，啊？你们那里是中午，那没事了），Kokuro也希望我别因他的冒昧打扰而生气，希望如果有进展能够尽快联系他

我刚应下，邮箱就收到了两份Steam寄来的邮件，一份欢迎我联系Steam社区，另一份告诉我事件的解决办法：我需要添加Steam工作人员为好友，然后提供一些证据证明自己的清白

OK，响应真快，那我快点找找这位Joe Ludwig，希望能顺利解决一切！

添加好友后，Chat里就出现了Joe Ludwig的打招呼，他说明自己是Steam的工作人员，说话时对话框带前缀，关键词高亮，感觉正式又让我觉得陌生，毕竟这样的方式加上英文的招呼开场，让人很难和刻板的人工智能客服形象摆脱开来，希望真的能解决问题吧

结果下一段话，他询问我是否需要进行其它语言的翻译，并提供在对话框中……

步入高潮

厉害！不愧是歪果服务，想的很周到啊，translate in Chinese，快，给我kangkang！

不一会，他便讲对话译为中文，开始和我交流，先是发送了一个Steam内置链接给我，内链到了我的购买记录一览，希望我能提供1-2张截图，证明我自己没有购买Kokuro的匕首，其对话智能程度让我觉得像在使用GPT-OpenAI

我如实提供了一张截图，而且觉得完全能证明我清白的时候，Joe Ludwig注意到了一件事：你的购买清单里的商品好像不能够在同一个地区获取到，换句话说，就是你购买商品的ip有多次国家地区的变化，你知道跨不同国家地区使用Steam账号购买不属于当地的商品是违反Steam条例的吗？

我是不是在买东西的时候都挂着梯子啊？感觉出问题了！等下，现在是什么状况？！我只能回答：额，我不知道这个，我也不知道我有跨国家地区的行为呀（装傻）

“我们需要连同你的欺诈嫌疑和跨国家地区购买违规商品的嫌疑一起进行测定”

“我会生成一个内置支付链接，对你现在所在ip地区进行测定”

“请不必担心，一切费用将在测定后按源渠道退还至你的账户，此行为只做区域的测定”

“请问是否准备好了，我将生成一份链接”

“我是否可以认为你现在在进行欺诈”

“这是我的员工认证证书，你可以参考”

“你无需担心，这只是一个检测，所产生的费用将按源渠道退还至你的账户”

“请问现在是否准备好了？我将生成一份链接，可以依照Paypal，Visa银行卡，支付宝，微信等进行支付”

“我不认为你说的是事实”

“并且我提供的证据已经足够证明我没有进行欺诈交易了，我所购买的一切商品都留有购买订单可以查询”

“你可以拒绝进行检测，但希望你能够知道，如果不通过检测，你的账号仍存在欺诈行为，将在48h后被冻结处理”

“当然，你在此期间任何时候都可以进行安全检测，证明你的账号是无辜的，否则你的数据可能将被清除”

我停顿了一下，想到打开Bing，在搜索引擎上对“Joe Ludwig”进行了查询，在（https://www.valvesoftware.com/zh-cn/contact?contact-person=Joe%20Ludwig）的条目中看到了这样的内容：

我把这张截图丢给了Joe Ludwig，并且告诉他：

“I don't impersonate anyone”

"I'm sorry I can't believe you"

故事尾声

在我触发猎手本能之后不久，还没来得及等我操作，Joe Ludwig，连同Kokuro一起，都消失在我的Steam好友列表中，一场网络诈骗便悄然落下了帷幕，以至于我话没法留存到更多的Chat记录

我本来想给Kokuro回一句“I had explained it and they had told me that a new knfie will be sent to you”，被一旁在看的室友拦住了

做个总结

其实，识破这场诈骗有非常多的环节，大多是只要能够打破信息代差，就能做到的，当然，也可以从技术利用角度去分析：

1、Kokuro给我的出售记录

由于Steam其实就是个网页浏览器的存在，从技术上是有可能修改交易记录栏的前端展示的，或者，截取一下载入response，或许里面就有Buyer的list，把里面的id类参数改成我的就好了，但其实最快的是去CSGO的售卖记录里查，4月25日到底有没有我购买这把匕首的记录

2、Steam的邮箱

其实我当时也是看出来了，我记得很清楚Steam的官方邮箱不是用的gmail（因为我之前做过邮件发件人伪造之类的工作），现在一看这个steampowered.devs@gmail.com满是破绽，甚至没有进一步的额外伪装，技术不到家啊

3、Steam的欢迎回件

还记得我说我收到了两份邮件吗？那份Steam社区帮助的欢迎邮件我没有去理睬，诈骗被识破后我很快的也想到了这点：这封邮件不会只是让我更放心这么简单，是我的话，这么大一个“CONTACT STEAM SUPPORT”按钮我肯定会做文章！

4、Kokuro与Joe Ludwig

Kokuro在我寄邮件前一直在催促我，现在想来不是心急误会了我，而是向我快点上钩；在寄件后他不久便问我有没有收到回应，那时我确实已经收到了，但是他是怎么知道的？

Joe Ludwig的形象太像一个AI了，我真的怀疑他是调用了GPT-OpenAI的接口，人类最高新的技术之一被用来做人类最传统的恶性职业之一，让人唏嘘

写在后面

写到这里，或者说写这篇专栏之前，我从未想过我希望我的内容创作能够被公开广泛传播，毕竟我创作的东西大多不值一提

但就这件事来说，我由衷希望大家重视身边的网络安全（可露希尔给我加强罗德岛底层信息安全，不然给我挂舰桥到你实装啊），这次的骗术并不高明，但是看得出他花了时间用心设计，国内乃至国外你去搜索Kokuro（https://steamcommunity.com/id/Yeshuri/，我不好断言这是否之前是个正常账户，然后被窃取了）和Joe Ludwig，能得到的信息报道少之又少……

所焦虑的是，几乎所有的发展都要走上先有受害人，后才有相关法律法规去约束行为的路；

所叹息的是，如此有前景的技术和人，为什么要以欺诈来赚取钱财，古人荒，无食而盗，今人以盗为乐

最后，我也担心：如果Joe Ludwig是调用GPT-OpenAI的接口进行欺骗，Kokuro你是否也是AI？

大家五一快乐，我们有缘再见ヾ(￣▽￣)Bye~Bye~