Trong thế giới kỹ thuật số ngày nay, việc bảo vệ tài khoản trực tuyến đã trở thành ưu tiên hàng đầu. Với vai trò là một người luôn đề cao an ninh mạng, tôi tự tin rằng mình đã áp dụng những biện pháp bảo mật tốt nhất: từ việc sử dụng xác thực đa yếu tố (MFA) hoặc xác thực hai yếu tố (2FA) cho mọi dịch vụ, đến việc tận dụng Passkey trên các nền tảng hỗ trợ. Tôi cũng đã thiết lập các ứng dụng xác thực riêng cho Blizzard, Microsoft, Steam và nhiều tài khoản khác. Thế nhưng, điều không ngờ tới đã xảy ra: tôi vẫn bị tấn công tài khoản Steam. Cụ thể hơn, tôi đã bị lừa đảo (phishing) trên Steam, bị dẫn dụ đến một trang sự kiện Counter-Strike 2 giả mạo, và không may điền thông tin đăng nhập mà tôi ngỡ là của Steam OpenID. Bài viết này sẽ chia sẻ chi tiết trải nghiệm của tôi, từ đó cung cấp những cảnh báo và lời khuyên hữu ích để bạn đọc tránh khỏi các chiêu trò lừa đảo Steam ngày càng tinh vi này.
Toàn bộ quá trình bị lừa đảo chỉ trong vài cú nhấp chuột
Việc tài khoản bị chiếm đoạt đôi khi chỉ là kết quả của một vài khoảnh khắc lơ là và sự tinh vi đến đáng sợ của những kẻ lừa đảo. Trải nghiệm của tôi là một minh chứng rõ ràng cho điều đó, khi một tin nhắn tưởng chừng vô hại từ một người bạn thân đã dẫn đến một cuộc tấn công phishing Steam không thể ngờ.
Trang lừa đảo trông thật đến mức nào, và nó đã giả mạo đăng nhập Steam OpenID ra sao
Đầu tháng 1 năm 2024, trong lúc đang thư giãn sau kỳ nghỉ lễ, tôi nhận được một tin nhắn trên Steam từ một người bạn cũ. Họ nhờ tôi bình chọn cho bạn bè của họ trong một giải đấu CS2 để có cơ hội giành giải thưởng. Lúc đó, tôi không suy nghĩ nhiều; chúng tôi vẫn thường xuyên nhờ nhau nhấp vào các liên kết để giúp đỡ nhau trong game. Nhưng giờ đây, tôi đã nhìn nhận mọi việc khác đi.
Tôi đã nhấp vào liên kết, sau đó tiếp tục nhấp vào nút đăng nhập Steam OpenID, và phải xác nhận trên Steam Guard trên điện thoại của mình – điều bắt buộc đối với mọi lần đăng nhập Steam của tôi. Tôi hơi bối rối khi trang bình chọn giải đấu không hoạt động như mong đợi, nhưng tôi lại nghĩ rằng đó là do AdBlock hoặc cài đặt bảo mật của bộ định tuyến. Tôi không bận tâm nhiều và đi ngủ.
Khi tỉnh dậy vào buổi sáng hôm sau, tôi nhận được rất nhiều tin nhắn từ bạn bè trên Steam, những người đã liên hệ với tôi qua các mạng xã hội khác để hỏi xem có phải tôi đã gửi tin nhắn đó không. Lúc ấy tôi mới vỡ lẽ, đó không phải là tôi, và một cảm giác hoảng loạn ập đến. Tôi nhanh chóng tìm đến Steam Support để khắc phục. Scam Steam này phổ biến đến mức Steam có hẳn một trang hỗ trợ riêng cho nó, nhưng thực sự, tôi đã không hề tìm kiếm thông tin này trước khi nhấp vào một liên kết từ một người bạn đáng tin cậy.
Giao diện trang đăng nhập Steam OpenID giả mạo giống thật đến kinh ngạc, cảnh báo lừa đảo Steam
Và đó chính xác là cách thức hoạt động của những kẻ lừa đảo: chúng chiếm đoạt một tài khoản, sau đó sử dụng nó để gửi tin nhắn đến danh sách bạn bè của nạn nhân. Nhờ “vòng tròn tin cậy” này, chúng nhận được càng nhiều cú nhấp chuột hơn mỗi lần. Bạn có thể sẽ không bao giờ nhấp vào một tin nhắn từ người lạ, nhưng nếu đó là một người bạn mà bạn thường xuyên chơi game cùng mỗi tuần? Chắc chắn rồi, bạn sẽ làm vậy mà không cần suy nghĩ.
Tin nhắn lừa đảo Steam được kẻ xấu gửi từ tài khoản bị chiếm đoạt, lừa bạn bè click vào link độc hại
May mắn thay, Steam có quy trình khôi phục tài khoản hiệu quả
Dù trải qua cảm giác lo lắng và bất lực khi tài khoản bị chiếm đoạt, tôi vẫn cảm thấy may mắn vì Valve đã xây dựng một hệ thống bảo mật và quy trình khôi phục tài khoản cực kỳ mạnh mẽ, giúp người dùng dễ dàng lấy lại quyền kiểm soát.
Chỉ với vài bước đơn giản và email từ Valve, bạn có thể lấy lại quyền truy cập
Thành thật mà nói, tôi đã từng gặp khó khăn hơn khi yêu cầu ngân hàng hoàn lại tiền bị gian lận so với việc khôi phục tài khoản Steam của mình. Chỉ sau vài phút nhấp qua các tùy chọn và trả lời các câu hỏi, tôi đã nhận được một email vào hộp thư đến của mình với một liên kết để thay đổi mật khẩu Steam và đăng xuất khỏi mọi thiết bị đã đăng nhập.
Thực sự rất khó để ai đó có thể khóa bạn khỏi tài khoản Steam của mình một cách hoàn toàn, bởi vì Valve có một lượng lớn thông tin cá nhân của bạn để xác minh trong quá trình khôi phục. Để bắt đầu cách lấy lại tài khoản Steam bị chiếm đoạt, bạn chỉ cần truy cập Steam Support, nhấp vào mục “Tài khoản Steam của tôi bị đánh cắp và tôi cần trợ giúp khôi phục” và làm theo các câu hỏi hướng dẫn.
Phần quan trọng nhất là phải đăng xuất khỏi mọi thiết bị. Bởi nếu kẻ lừa đảo vẫn còn các session cookie, chúng có thể tiếp tục gửi tin nhắn giả mạo bạn, và scam Steam vẫn diễn ra trong khi bạn nghĩ rằng mình đã khôi phục được tài khoản. Tôi không chắc các session cookie này tồn tại bao lâu, nhưng cách duy nhất chắc chắn là đăng xuất khỏi mọi thiết bị khi bạn thay đổi mật khẩu.
Dù Steam Guard luôn được bật, tôi vẫn bị lừa đảo
Điều đáng ngạc nhiên nhất trong trải nghiệm này là dù tôi luôn bật Steam Guard và đã quen thuộc với các biện pháp bảo mật của Steam, tôi vẫn trở thành nạn nhân của một cuộc lừa đảo Steam tinh vi. Điều này cho thấy sự nguy hiểm của các chiêu trò phishing game hiện nay.
Giả mạo Steam OpenID là chiêu trò đánh lừa bậc thầy
Tôi vẫn luôn bật Steam Guard, với xác thực 2 yếu tố được thực hiện bởi ứng dụng Steam trên điện thoại thông minh của mình, và mật khẩu của tôi không hề bị thay đổi. Nói cách khác, tôi đã rất may mắn, và tôi không có bất kỳ skin hay số dư Steam Wallet nào để kẻ lừa đảo rút đi. Vì vậy, chúng chỉ gửi hàng loạt tin nhắn cho danh sách bạn bè của tôi để cố gắng tìm kiếm một mục tiêu “béo bở” hơn. Chúng biết rằng Valve giúp chủ sở hữu dễ dàng khôi phục tài khoản Steam, và chúng không muốn trò chơi của bạn, mà chỉ muốn bất cứ thứ gì chúng có thể chuyển đi được.
Cài đặt Steam Guard và xác thực 2 yếu tố trên ứng dụng di động Steam để bảo vệ tài khoản
Sai lầm duy nhất của tôi là nhấp vào một thứ gì đó được gửi qua tin nhắn Steam. Đáng lẽ tôi phải biết điều đó, vì chúng tôi thường sử dụng trò chuyện thoại hoặc Discord cho bất kỳ điều gì, nhưng đó là một người tôi nói chuyện thường xuyên, và nhận được các liên kết hoặc meme từ họ không phải là điều bất thường. Ngoài việc không nhấp vào liên kết lạ, tôi khuyên bạn không nên giữ số dư trong Steam Wallet nếu có thể, vì số tiền đó sẽ bị rút đi, và Valve không thể đảo ngược các giao dịch trên Community Market, đây là cách kẻ lừa đảo chiếm đoạt tiền của bạn.
Chiêu trò lừa đảo phishing đang ngày càng tinh vi và giống website thật
Tôi luôn cảnh giác với các nỗ lực lừa đảo (phishing), báo cáo mọi email đáng ngờ trước khi gửi chúng vào spam, nhưng tôi vẫn bị lừa đảo Steam. Điều đó không có nghĩa là tôi đã trở nên ngu ngốc hay cẩu thả, mặc dù có một phần như vậy. Vấn đề là điều này có thể xảy ra với bất kỳ ai, và nếu tin nhắn đến từ một người bạn đáng tin cậy, càng khó để nhận ra đó là một trò lừa đảo.
Ngay cả khi đã bật MFA, sử dụng mật khẩu dài và độc đáo, cùng với một tư duy cảnh giác, tôi vẫn trở thành nạn nhân. Tin tốt là việc lấy lại một tài khoản Steam bị chiếm đoạt rất dễ dàng, và Valve bảo vệ khách hàng của mình rất tốt trong vấn đề này, vì họ muốn bạn tiếp tục chi tiền cho các trò chơi mới.
Kết luận
Qua trải nghiệm thực tế này, có thể thấy rõ các chiêu trò lừa đảo Steam và phishing game hiện nay đã đạt đến mức độ tinh vi đáng kinh ngạc. Ngay cả những người dùng có ý thức bảo mật cao và áp dụng đầy đủ các biện pháp bảo vệ như Steam Guard, MFA hay Passkey cũng có thể mắc bẫy nếu lơ là trong phút chốc. Bài học quan trọng nhất là hãy luôn cảnh giác với tin nhắn lừa đảo Steam, đặc biệt là các liên kết được gửi từ bất kỳ ai, kể cả bạn bè thân thiết nhất, bởi lẽ tài khoản của họ cũng có thể đã bị chiếm đoạt. Hơn nữa, việc không giữ số dư lớn trong Steam Wallet cũng là một biện pháp phòng ngừa hiệu quả.
Tuy nhiên, nếu không may tài khoản Steam bị hack hoặc bị lừa đảo, bạn cũng không cần quá lo lắng. Như đã chia sẻ, Steam có quy trình khôi phục tài khoản Steam cực kỳ mạnh mẽ và hiệu quả, giúp người dùng nhanh chóng lấy lại quyền kiểm soát. Hãy luôn tìm đến Steam Support chính thức để được hỗ trợ. Hãy chia sẻ trải nghiệm này với bạn bè để cùng nhau nâng cao cảnh giác và bảo vệ tài khoản game của mình. Nếu bạn có bất kỳ thắc mắc hoặc kinh nghiệm nào về bảo mật Steam, đừng ngần ngại để lại bình luận bên dưới nhé!
