Steam编年史①：黑卡

今天小刀不讲医学科普，来说说一件在steam平台以及至今仍存在的事情：黑色产业·黑卡。

在网络支付还不发达的互联网早期，进行网络交易是一件很麻烦的事情。

如果是互联网老玩家肯定见过网络支付的U盾，网游登录用的将军令之类账号保护的令牌系统。

这样做的目的就是为了防止用户的财产损失，但还是黑客的盗号行为猖獗。

steam的开端

2003年时加布·纽维尔（Gabe Newell，人称不会数3的“G胖”）为了简化《反恐精英》（Counter-Strike）在线游戏中常见的修补程序过程，推出了一个名为Steam的软件。

但当时的平台接口简陋，游戏有且只有Valve自家的软件，而且还无法通过该平台购买游戏。

直到2005年，Steam上线了第一批非V社的游戏作品，Steam也正式成为了在线游戏商店。

但当时购买和激活游戏的方式仅有购买能够兑换成余额的充值卡、延续实体游戏的CDkey以及信用卡直接支付。

不过那时候整个互联网的支付系统都处于混沌初开的状态，缺乏严格的风控措施（如两步验证、异地登录检测等等）。

为黑客提供了转移资产操作空间诞生黑产：黑卡（被盗取的他人银行卡）。

黑客团队会尝试盗刷信用卡购买游戏，但因当时Steam用户规模较小，未形成规模化黑产。

2011年V社推出自家的账户安全验证工具，侧面反映当时账户盗用和欺诈问题已开始增多，但当时只要有邮箱就能盗号的情况还是让其账号安全性极差。

之后的steam社区市场开放（允许玩家可以在市场和私人交易《CS：GO》和《DOTA2》的饰品），而当时的游戏的饰品交易并没有CD。

进一步为黑卡套现提供了更为便捷的渠道：黑产团伙通过盗刷信用卡购买游戏或道具或盗号后，再通过市场低价转卖进行洗钱。

即便到了现在，这种盗号行为仍然存在。还曾有盒友在被盗号后盗号者的脚本在以市场最低价清理他的库存时，还发帖困惑怎么Steam发钱了吗？

如果玩过csgo玩家肯定都知道，在游戏里一个皮肤饰品的磨损值是独一无二且固定的。

但因为早期玩家账号被盗的乱象很大方面都是因为账号安全性低，保障不完善的缘故。

也就是说有一半是V社账号保障没做好的锅，所以那时候V社对玩家账号被盗的处理还是相对积极的。

当时普通玩家饰品被盗或者被骗后，只要出示相关证据，或者说情真意切地写上一篇小作文给Steam客服。

在事件受理后就有概率获得一件复制品补偿，很是帮助了一批真的损失惨重的玩家。

但后来逐渐有人开始利用这个规则钻起了漏洞，薅V社羊毛。

将饰品转移给小号，然后写作文表示自己账号被盗，就会免费“收获”复制出来的饰品。

在当时连其咆哮本体的钱都没出。他们找人借了枪皮，然后直接通过假装账号被盗，就空手套白狼了数十把暗金咆哮出来，对游戏的饰品市场产生了极大的影响。

复制品风波一直到V社推出动态的手机令牌，于2016年取消了这项赔偿措施后才彻底消停，但在此之后V社也不再插手处理玩家账号被盗事件，只承认Steam市场交易的安全性，直到最近迪拜王子账号被盗的事件发生。

除了线上，线下里也神人“黑客”会在售卖充值卡的地方直接刮取涂层获取key。或者一样用盗取的银行卡来购买充值卡，但会因为信用卡找回而被反激活让其失效。

不过现在得益于互联网安全措施的进步，黑产行业相对于以前造成的影响相对小了一些。

不过还是会存在黑卡余额代购游戏，而导致被红信、黄信的例子。