从没想过此事会发生在自己身上，昨晚在竞技中看到默认皮肤时，还以为是网络问题。今早看到Steam的令牌验证里有不明登陆待确认时，一种不详预感浮现，登上来一看，果然库存已空，只能查到一连串交易记录。

价值有限，损失物品事小，最令人沮丧的是，有一种智商受到了侮辱的感觉。尽管帐号还能登录，赶紧修改密码，更换绑定手机号码，但一系列操作只是亡羊补牢，并不觉得有丝毫宽慰，在弄清被盗原因前，任何操作在对方面前可能都是在裸奔。

一番搜索之后，答案渐渐浮现：

几乎可以百分百肯定，是因为前几天在Instgram上一则CS2的虚假广告：浏览过程中需要登录Steam帐号来查看是否有资格参与内测，尽管当时稍有疑虑，但体验心切，一时大意中招了。对方获取我的登录用户名和密码后，周六上午停用了手机令牌验证功能，周一到周二上午完成了一系列交易。

在手机短信中翻到了周六一早“移除手机验证功能”的短信验证码，也还没有想通，在停用手机令牌环节，对方是如何获取到这个验证码的。也许是在登录过程中，对方诱导我停用了这一功能，我现在居然想不起当时登录的细节了。

查到了99%的原因，内心的沮丧稍稍有所缓和，至少不用再提心吊胆。基于这次经历，需要总结下感受和教训：

1. 平时可以非常谨慎地避免99次钓鱼，但只要有一次疏忽，就是致命的。
2. 此次经历说明自己怀疑得还是不够，对于某些渠道有天然的信任，没有意识到威胁无处不在。本次是在instagram上的戒备心不强，对方广告以假乱真，完全照搬官网，其实如果CS2开放内测，信息应该铺天盖地，第一接触点绝对不会是广告。诈骗广告能在平台上展示，instagram亦需承担责任。
3. 那段时间我一直在查询各种有关CS2的消息，非常迫切地想体验，心理上戒备心不足，给对方有可乘之机。
4. 登录过程中，怀疑被钓鱼的念头仅一闪而过，如果迟疑后转而去游戏内或其他渠道验证，而不是急切地直接登录查询，本次损失都可以避免，悔之晚矣。

除了对如何停用手机令牌验证的过程有疑问，其实还有几个小小的疑问没有得到解答：

1. 关于我的库存物品，对方以什么价格销售的？是赠送的吗？（我并不太熟悉Steam的交易机制）
2. 出于什么考虑，对方没有触碰我账户中的几十元人民币余额？是嫌太少了吗？

附主要损失清单：

• 音乐盒（StatTrak™） | Skog – II-爆头
• 音乐盒 | Laura Shigihara – 好好干，好好活
• 音乐盒 | The Verkkars – EZ4ENCE
• 音乐盒 | AWOLNATION – 就是我
• 音乐盒（StatTrak™） | Hundredth – 冲破藩篱

• 丛林反抗者 | 精锐分子
• D 中队军官 | 新西兰特种空勤团
• M4A4（StatTrak™） | 透明弹匣
• M4A4 | 镁元素
• AK-47 | 精英之作
• AK-47（StatTrak™） | 幻影破坏者
• 格洛克 18 型（StatTrak™） | 一目了然
• 沙漠之鹰（StatTrak™） | 指挥
• USP 消音版（StatTrak™） | 闪回
• AWP（StatTrak™） | 死神

• 专业手套（★） | 深红之网
• 裹手（★） | 蟒蛇
• 鲍伊猎刀（★） | 自由之手
• M9 刺刀（★） | 枯焦之色