因为在Steam上“喜加一”，这位癌症患者被骗走了20万救命钱

拉沃今年26岁，来自拉脱维亚。

去年底，他被查出患有一种极其罕见的恶性肿瘤，整个后背以令人讶异的速度肿了起来，还伴随着剧烈的疼痛。

拉沃去看医生，医生摇摇头，他们对这种肿瘤的研究太少，没有数据支撑，只能先吃药、化疗，走一步看一步。

为了活下去，拉沃开始辗转于各大医院之间，他去了西班牙，那里的医生专业一些，也更贵一些，旅行和治疗产生的费用已经掏空了他所有的储蓄。

于是，他开始在平台上直播，在推特上发起众筹。所幸成效还算不错，短短6个月，他已经筹集到了32000美元用于治疗，一切似乎都在向好的方向发展。

直到他的钱被Steam上的一款游戏偷偷转走之前。

骗局

《Block Blasters》，Steam上的一款2D像素风平台跳跃射击游戏。

一眼看去，它和别的游戏没有什么不同。

宣传片、截图、简介，开发商页面一应俱全，甚至游戏的评价还不错，几百条评价特别好评，样子像极了几个人合伙开发的小规模独立游戏，类似这样的作品，Steam上有几万款。

游戏发售于今年的7月30日，为了通过Steam的审查机制，骗子们并没有在发售版本上做什么手脚。游戏发布后，他们耐心地推了几次补丁，在社区页面刷了一些评价，布好陷阱，等待猎物上钩。

一个月后，野兽的獠牙终于显露了出来。在8月30日的更新里，制作组在更新补丁里添加了能够窃取玩家账户信息的病毒，狩猎正式开始。

一开始，病毒会以加密文件的形式潜伏在游戏的安装文件里，暂时规避扫描。在潜伏的过程中，它会侦测你的电脑里是否有除Windows Defender以外的主流杀毒软件。如果没有的话，那么病毒就会“领域展开”，开始盗取你电脑里所有有价值的信息。

虚拟货币账户、Steam账号密码、谷歌账号密码、网站上保存的数据、电脑里的重要文件……一切的一切，都会通过病毒开启的“后门”，传送到骗子的电脑屏幕上。

在这个人均活在互联网里的时代，可谓人为刀俎，我为鱼肉。

几个星期内，这群人光是靠洗劫别人的虚拟货币账户，就获利150000美元，受害者达到上百名，而拉沃正是其中之一。

当时他正在做直播，弹幕里有人向他推荐了这款游戏，对Steam平台的信任让他放下了戒心，等到钱被转走以后，天都塌了。

事情发生后，拉沃在网上发声说自己的救命钱被洗走，已经去警局报了案，并恳请网友们帮忙，这引起了一些大佬们的注意。

大佬们顺藤摸瓜，找到了游戏的制作者，目前掌握的信息显示，这个骗子住在迈阿密，貌似是个非法滞留美国的黑户，专门在这里搞诈骗的。

更令人恼火的是，在得知自己坑了别人的救命钱后，他不仅没有后悔的意思，反而大言不惭地表示“没事，我相信他以后会挣回来的”，然后拿着这笔钱，在家里开起了Party。

开香槟咯

据大佬们讲述，这个人的反侦察意识并不强，稍微用点手段，个人信息什么的就翻了出来。相信如果立案成功的话，被抓是迟早的事，而就诈骗的数额和恶劣程度来看，这哥们不仅会蹲大牢，还会被驱逐回国，永远不得入境。

骗子：我反应过来的时候，钱已经到手了

至于拉沃的救命钱，现在已经有富哥帮忙垫上了，他的抗癌之路还将继续，不过估计以后是再也不敢瞎点各种链接了。被骗这一下子可是把他折腾够呛，估计比化疗更伤身体。

在网友们的举报下，Steam及时下架了这款游戏。可如果把时间往回倒，你会发现《Block Blasters》其实并不是个例，在此之前，还有许多人因为游戏内置的恶意程序被盗取个人资料，丢失钱财。这也让网友们开始思考，Steam是否需要一个更严格，更安全的审核机制。

隐忧

今年7月份，一款名为《Chemia》的生存建造游戏的EA版本上线Steam，其中内置了木马软件。

更早些时候，Steam下架了航海生存主题游戏《PirateFi》，理由是利用病毒窃取玩家信息。

一方面讲，这确实和Steam的创作者审查机制有关，官方对游戏的初上线版本审核非常严格，从游戏内容到商店页面规范都有着很清晰的条文规定。可一旦通过审核，后续的更新就放手不管，开发者可以随时按需更新。

因此，像《Block Blasters》这样，做一个卖相不错的小游戏，再在后续更新里搞点猫腻，理论上是完全可行的。并且像这样的诈骗游戏，大部分都是免费游玩，许多人抱着“喜加一”的心态下下来试试，就直接中了招。

更恐怖的是，沿着这个理论把思路再拓展一下，那么Steam上的集换式卡牌，甚至知名游戏的MOD，都有了被植入病毒的风险。

去年年底，《城市：天际线2》的模组“traffic”就被黑客植入了病毒，官方紧急下架了该MOD，并火速发出公告。公告里详细说明了木马文件的位置，中招的玩家需要用杀毒软件正确删除文件，并且修改电脑上储存的所有账户密码组合，才算暂时安全。

官方公告，作案具体手法和其他人一样

另一方面来说，这种窃取私人信息的病毒文件，其实并没有什么技术难度。在Discord或者********上挂一个Webhook，再敲几行相关联的代码，一个简易的窃取病毒就完成了。整个过程中最难的部分反而是做一款能在Steam上过审，并且卖相还不错的游戏。

就这样，随着游戏和各种各样MOD的下载，海量玩家们的个人信息被窃取、打包、在暗网上售卖。油管主”PC Security Channel”在暗网资源下载工具上搜索关键词“Steam”，得到了近2000万条结果，其中有相当一部分，是被窃取却不知情的玩家信息。

诚然，更严格的审查制度会在一定程度上降低整个Steam的运行效率。一些正在EA阶段的游戏可能每天都会推送更新，甚至一天推送几个更新。如果每次更新都需要审核的话，那么游戏的BUG修复、新内容添加等方面的效率就会下降，一定程度上会影响玩家们的游戏体验。

不过，在安全问题面前，游戏体验反而成了小事，如果玩家的个人信息安全，甚至财产安全都得不到保障的话，那么恐怕再好玩的游戏，也有些索然无味了。

最后，在这里提醒大家一下，在安装来源未知的游戏时，一定要擦亮眼睛，仔细查询发行商的资质信息，也不要轻易点击链接，钱不钱的先不说，你也不想你的浏览记录，被别人看到吧。