Steam API Scam ở năm 2026 - Sự thật mà không ai nói cho bạn biết

Vào năm 2020, bạn đăng nhập Steam một buổi sáng và phát hiện kho đồ trống rỗng. Không có cảnh báo, không có thông báo lạ, tài khoản vẫn là của bạn, nhưng mọi thứ đã biến mất.

Đây không phải chuyện hiếm gặp. Trong nhiều năm qua, hàng nghìn người chơi CS2, TF2, và Dota 2 đã mất đồ theo đúng cách trên, và thủ phạm là một kỹ thuật tấn công khai thác Steam API Key.

---

Chuyện gì đã xảy ra?

Hãy tưởng tượng bạn có một chiếc chìa khóa vạn năng mở được tủ đồ Steam của mình. Thông thường, chỉ bạn mới giữ chìa khóa đó. Nhưng nếu ai đó lừa được bạn đưa cho họ một bản sao, họ có thể vào ra tự do mà bạn không hay biết gì.

Steam API Key chính xác là chiếc chìa khóa đó.

---

Steam API Key là gì?

Steam cung cấp một hệ thống API (Application Programming Interface) cho phép các ứng dụng bên thứ ba giao tiếp với nền tảng của họ. Bất kỳ tài khoản nào cũng có thể tạo một API Key miễn phí tại steamcommunity.com/dev/apikey.

Mục đích ban đầu của nó rất lành mạnh: cho phép các website thị trường đồ (như marketplace, trading bot) tự động xử lý giao dịch thay mặt người dùng.

Vấn đề nằm ở chỗ: kẻ xấu cũng có thể làm đúng điều đó.

---

Cách kẻ xấu đánh cắp đồ, từng bước

Bước 1: Lừa bạn vào một trang giả mạo

Bạn nhận được một link từ bạn bè trên Discord, hoặc thấy một quảng cáo hấp dẫn trên mạng. "Free skin", "trade bot uy tín", "case opening miễn phí"... Trang web trông y hệt Steam, bạn bấm đăng nhập và không thấy gì bất thường.

Nhưng thực ra trang đó vừa âm thầm sao chép một thông tin quan trọng trong trình duyệt của bạn, thứ gọi là session cookie, bằng chứng nhận diện rằng bạn đã đăng nhập Steam.

Bước 2: Tạo API Key mà bạn không hay biết

Với thông tin vừa lấy được, kẻ tấn công truy cập Steam và tạo ra một API Key gắn với tài khoản của bạn. Steam không yêu cầu nhập mã xác minh 2FA cho bước này, nên nó diễn ra trong vài giây.

Lúc này trong tài khoản của bạn tồn tại một "chìa khóa phụ" mà bạn không hề biết.

Bước 3: Theo dõi mọi trade offer bạn nhận được

Từ đây, mỗi khi bạn nhận được một trade offer (ví dụ: bạn vừa bán đồ trên một website và đang chờ nhận tiền mặt hoặc đổi đồ), kẻ tấn công nhìn thấy nội dung offer đó ngay lập tức, trước cả khi bạn kịp xác nhận.

Bước 4: Đánh tráo offer ngay trước mắt bạn

Đây là bước tinh vi nhất. Kẻ tấn công:

1. Hủy offer hợp lệ bạn đang chờ nhận
2. Tạo ngay một offer giả trông y hệt, nhưng đồ sẽ đi thẳng vào ví của chúng
3. Bạn nhận thông báo trade như bình thường, thấy tên đồ quen thuộc, bấm xác nhận Kết quả: bạn tự tay giao đồ cho kẻ trộm mà nghĩ rằng mình vừa hoàn thành giao dịch bình thường.

---

Tại sao nó khó phát hiện đến vậy?

Vì mọi thứ trông hoàn toàn bình thường:

• Tài khoản của bạn không bị xâm nhập
• Không có đăng nhập từ thiết bị lạ
• Không có email cảnh báo từ Steam
• Bạn tự bấm xác nhận giao dịch Trên màn hình xác nhận của Steam Mobile Authenticator, tên đồ hiển thị đúng, nhưng người nhận đã bị thay. Nhiều người không để ý kiểm tra kỹ phần đó.

---

Tin tốt: Steam đã thay đổi, bạn an toàn hơn nhiều

Vào tháng 05/2022, Valve đã chấm dứt mọi nỗ lực của scammer bằng một thay đổi mang tính quyết định: Hạn chế quyền truy cập của API Key:

Với CS2: API Key không còn lấy được thông tin chi tiết về item trong trade offer nữa. Không nhìn thấy nội dung offer, kẻ tấn công không thể tạo offer giả để đánh tráo.

Với tất cả game: API Key giờ đây không thể được dùng để gửi hoặc nhận trade offer. Toàn bộ chuỗi tự động hóa mà kẻ tấn công phụ thuộc vào đã bị cắt đứt hoàn toàn.

Lưu ý với TF2 và các game khác: Việc xem trade offer qua API vẫn còn hoạt động, nhưng vì không thể tự động hóa gửi/nhận offer, rủi ro đã giảm đáng kể.

---

Bạn nên làm gì ngay bây giờ?

Dù đã an toàn hơn, một vài bước sau đây vẫn nên được thực hiện:

Kiểm tra API Key hiện tại: Truy cập https://steamcommunity.com/dev/apikey. Nếu có một key tồn tại mà bạn không tự tạo, hãy xóa nó ngay.

Deauthorize tất cả thiết bị: Vào Steam > Settings > Security > Deauthorize All Other Devices. Thao tác này vô hiệu hóa tất cả session đang hoạt động, bao gồm cả cookie bị đánh cắp.

Bật Steam Mobile Authenticator: Nếu chưa bật, hãy bật ngay. Và khi xác nhận trade, luôn kiểm tra kỹ tên người nhận, không chỉ tên item.

Không chạy file lạ: Phần lớn các vụ tấn công bắt đầu từ một file .exe hoặc link phishing. Không có shortcut nào cho điều này.

---

Tổng kết

Steam API scam là một trong những kỹ thuật tấn công tinh vi nhất trong thế giới gaming vì nó không cần hack tài khoản, chỉ cần lợi dụng một tính năng hợp lệ của hệ thống theo cách không ai ngờ đến.

Những thay đổi mà Valve thực hiện gần đây, đặc biệt là việc ngăn API Key gửi/nhận offer và ẩn thông tin item của CS2, đã đóng cửa chuỗi tấn công này một cách hiệu quả.

Kho đồ của bạn giờ đây an toàn hơn nhiều. Nhưng lớp bảo vệ tốt nhất vẫn luôn là sự cẩn thận của chính bạn.