Steam編年史①：黑卡

今天小刀不講醫學科普，來說說一件在steam平臺以及至今仍存在的事情：黑色產業·黑卡。

在網絡支付還不發達的互聯網早期，進行網絡交易是一件很麻煩的事情。

如果是互聯網老玩家肯定見過網絡支付的U盾，網遊登錄用的將軍令之類賬號保護的令牌系統。

這樣做的目的就是爲了防止用戶的財產損失，但還是黑客的盜號行爲猖獗。

steam的開端

2003年時加布·紐維爾（Gabe Newell，人稱不會數3的“G胖”）爲了簡化《反恐精英》（Counter-Strike）在線遊戲中常見的修補程序過程，推出了一個名爲Steam的軟件。

但當時的平臺接口簡陋，遊戲有且只有Valve自家的軟件，而且還無法通過該平臺購買遊戲。

直到2005年，Steam上線了第一批非V社的遊戲作品，Steam也正式成爲了在線遊戲商店。

但當時購買和激活遊戲的方式僅有購買能夠兌換成餘額的充值卡、延續實體遊戲的CDkey以及信用卡直接支付。

不過那時候整個互聯網的支付系統都處於混沌初開的狀態，缺乏嚴格的風控措施（如兩步驗證、異地登錄檢測等等）。

爲黑客提供了轉移資產操作空間誕生黑產：黑卡（被盜取的他人銀行卡）。

黑客團隊會嘗試盜刷信用卡購買遊戲，但因當時Steam用戶規模較小，未形成規模化黑產。

2011年V社推出自家的賬戶安全驗證工具，側面反映當時賬戶盜用和欺詐問題已開始增多，但當時只要有郵箱就能盜號的情況還是讓其賬號安全性極差。

之後的steam社區市場開放（允許玩家可以在市場和私人交易《CS：GO》和《DOTA2》的飾品），而當時的遊戲的飾品交易並沒有CD。

進一步爲黑卡套現提供了更爲便捷的渠道：黑產團伙通過盜刷信用卡購買遊戲或道具或盜號後，再通過市場低價轉賣進行洗錢。

即便到了現在，這種盜號行爲仍然存在。還曾有盒友在被盜號後盜號者的腳本在以市場最低價清理他的庫存時，還發帖困惑怎麼Steam發錢了嗎？

如果玩過csgo玩家肯定都知道，在遊戲裏一個皮膚飾品的磨損值是獨一無二且固定的。

但因爲早期玩家賬號被盜的亂象很大方面都是因爲賬號安全性低，保障不完善的緣故。

也就是說有一半是V社賬號保障沒做好的鍋，所以那時候V社對玩家賬號被盜的處理還是相對積極的。

當時普通玩家飾品被盜或者被騙後，只要出示相關證據，或者說情真意切地寫上一篇小作文給Steam客服。

在事件受理後就有概率獲得一件複製品補償，很是幫助了一批真的損失慘重的玩家。

但後來逐漸有人開始利用這個規則鑽起了漏洞，薅V社羊毛。

將飾品轉移給小號，然後寫作文表示自己賬號被盜，就會免費“收穫”複製出來的飾品。

在當時連其咆哮本體的錢都沒出。他們找人借了槍皮，然後直接通過假裝賬號被盜，就空手套白狼了數十把暗金咆哮出來，對遊戲的飾品市場產生了極大的影響。

複製品風波一直到V社推出動態的手機令牌，於2016年取消了這項賠償措施後才徹底消停，但在此之後V社也不再插手處理玩家賬號被盜事件，只承認Steam市場交易的安全性，直到最近迪拜王子賬號被盜的事件發生。

除了線上，線下里也神人“黑客”會在售賣充值卡的地方直接刮取塗層獲取key。或者一樣用盜取的銀行卡來購買充值卡，但會因爲信用卡找回而被反激活讓其失效。

不過現在得益於互聯網安全措施的進步，黑產行業相對於以前造成的影響相對小了一些。

不過還是會存在黑卡餘額代購遊戲，而導致被紅信、黃信的例子。