Oszustwo Steam API to rodzaj oszustwa, w ramach którego napastnicy uzyskują dostęp nie tylko do klucza API, ale także do Twojej sesji lub konta Steam, po czym mogą utworzyć lub użyć klucza Steam Web API w celu przechwytywania i przekierowywania ofert trade. Klucz API to dane uwierzytelniające umożliwiające dostęp do internetowego interfejsu API Steam. Samo w sobie nie jest to hasło do Twojego konta, ale w połączeniu ze skradzioną sesją Steam może służyć do monitorowania ofert trade i wymiany ich w trakcie wymiany. Oszuści wykorzystują to do przekierowania trades, co oznacza, że Twoje przedmioty mogą zostać skradzione w środku legalnego trade z przyjacielem lub nawet zaufanym rynkiem skinów.
W jaki sposób oszuści kradną Twoje dane poprzez oszustwo Steam API?
Najpopularniejszą metodą są witryny phishingowe, które przechwytują Twoje dane uwierzytelniające podczas logowania przy użyciu Steam. Mogą to być podobne kopie legalnych platform lub rynków lub innych witryn udających przydatne narzędzia lub usługi analityczne dla graczy.
Taktyka uległa znacznej ewolucji: napastnicy wykraczają obecnie poza fałszywe formularze logowania i wykorzystują fałszywe monity logowania QR, złośliwe rozszerzenia przeglądarki, sfałszowane okna Steam i zhakowane konta należące do znajomych, którzy wysyłają linki pod znaną nazwą. Zagrożenie nie zawsze wygląda jak podejrzana witryna internetowa — często zaczyna się od zupełnie zwyczajnej wiadomości na Steamie, Discordzie lub innym czacie.
Możesz natknąć się na te witryny poprzez wyszukiwarkę (właśnie dlatego zdecydowanie odradzamy klikanie wyników płatnych reklam na górze strony i zalecamy bezpośrednie dodanie naszej witryny do zakładek, aby uniknąć wylądowania na fałszywej stronie). Jednak w schematy te często angażują się prawdziwi użytkownicy Steam, którzy kontaktują się z Tobą i proszą Cię o skorzystanie z ich linku i zrobienie czegoś na stronie:
zarejestruj się, aby wziąć udział w turnieju swojej ulubionej gry;
zagłosuj na "jego" przedmiot w warsztacie i tak dalej.
Typowe przynęty obejmują także linki do "skin inspection," "weryfikacja konta," "odwołania dotyczące fałszywych raportów," "głosowanie zespołowe," lub "bezpieczne trades." Nawet jeśli taka wiadomość pochodzi od kogoś, kogo znasz, przed kliknięciem czegokolwiek zawsze sprawdź, czy jego konto nie zostało przejęte.
Jak chronić się przed oszustwem Steam API
Aby chronić się przed oszustwami związanymi z interfejsem API Steam, należy zachować czujność. Kiedy trafisz na oszukańczą witrynę, zwykle nie masz pojęcia, że coś jest nie tak: może ona wyglądać identycznie jak prawdziwa (jeśli jest to klon) lub po prostu wyglądać na godną zaufania (w innych programach).
Będziesz więc przeglądał bez podejrzeń, a w pewnym momencie witryna poprosi Cię o zalogowanie się przez Steam w celu skorzystania z określonej funkcji. W tym miejscu staje się jasna różnica między legalną witryną a fałszywą.
Jeśli jesteś już zalogowany do Steam w swojej przeglądarce:
Prawidłowa witryna: przekierowuje Cię do oficjalnej domeny Steam, gdzie możesz zalogować się za pomocą Steam OpenID. Jeśli jesteś już zalogowany do Steam w tej przeglądarce, zazwyczaj wystarczy potwierdzić za pomocą przycisku "Zaloguj się" — nie ma potrzeby ponownego wprowadzania danych logowania ani skanowania kodu QR.
Fałszywa witryna: wyświetla fałszywe okno logowania i prosi o podanie danych uwierzytelniających bezpośrednio na stronie lub monituje o zeskanowanie kodu QR, który faktycznie uwierzytelnia sesję osoby atakującej, a nie Twoją. Logowanie QR Steam jest bezpieczne tylko w oficjalnej domenie Steam — na stronie phishingowej staje się narzędziem do kradzieży Twojej sesji.
Jeśli podasz swoje dane uwierzytelniające lub potwierdzisz login QR na stronie phishingowej, atakujący będą mogli uzyskać pełny dostęp do Twojej sesji Steam.
Co to jest klucz API, token API i adres URL Trade?
Dyskusje na temat oszustwa Steam API często dotyczą terminów "klucz API," "token API," "token," lub po prostu "key" — i warto zrozumieć te różnice. Klucz Steam Web API to dane uwierzytelniające utworzone na oficjalnej stronie kluczy Steam Web API. Tokeny sesji i pliki cookie to dane uwierzytelniające przechowywane przez przeglądarkę po zalogowaniu. Jeśli oszuści ukradną Twoją sesję poprzez phishing, fałszywy kod QR lub złośliwe rozszerzenie przeglądarki, mogą działać w imieniu Twojego konta nawet bez znajomości Twojego nowego hasła – do czasu zakończenia sesji.
Adres URL Trade to osobna sprawa. Samo w sobie nie daje oszustom dostępu do Twojego konta ani nie pozwala im na kradzież przedmiotów bez potwierdzenia, ale jeśli Twoje konto zostało już przejęte, powinieneś ponownie wygenerować swój adres URL trade jednocześnie zmieniając hasło i unieważniając klucz API.
Jak działa oszustwo Steam API?
Po włamaniu na Twoje konto lub sesję klucz Steam API może zostać utworzony bez Twojej wiedzy na oficjalnej stronie kluczy Steam Web API (https://steamcommunity.com/dev/apikey) — i nie będziesz wiedział, że to się stało, ponieważ Steam nie wysyła żadnego powiadomienia, gdy to nastąpi.
A potem – nic. Przynajmniej na jakiś czas, w typowym scenariuszu oszustwa Steam API. Żyjesz normalnie, grasz w swoje gry, spędzasz dzień. Dopiero gdy zdecydujesz się trade na swoje przedmioty — co może nastąpić kilka dni lub nawet miesięcy później — oszuści wykonują ruch i przechwytują wymianę.
Kiedy wysyłasz przedmioty do znajomego, na rynek lub na inne swoje konto, oszuści mogą wykryć wychodzącą wiadomość trade, anulować pierwotną ofertę i zamiast tego utworzyć nową, skierowaną do bota podszywającego się. Jeśli w tym momencie sprawdzisz swoją historię trade, zobaczysz dwie oferty z identycznymi przedmiotami — jedną dla zamierzonego odbiorcy, drugą dla fałszywego bota. Bardziej wyrafinowani napastnicy również ubiorą swojego bota tak, aby wyglądał jak zamierzony odbiorca, kopiując awatar i dane konta. Gdy tylko potwierdzisz trade, Twoje skiny trafią do oszustów, a nie tam, gdzie zamierzałeś.
Steam opisuje ten typ ataku jako trade podstawienie lub przekierowanie: użytkownik uważa, że potwierdza trade za pomocą zaufanego konta, ale w rzeczywistości wysyła elementy do podszywacza.
Co się zmieniło po wprowadzeniu ochrony Trade?
Dla CS2 przedmiotów Steam wprowadził mechanizm Trade Protection. Po trade, CS2 przedmioty są chronione przez 7 dni: można ich używać w grze, ale nie można traded dalej, modyfikować ani zużywać. Jeśli Twoje konto zostało przejęte, a przedmioty zostały wysłane za pomocą fałszywego trade, możesz anulować transakcje dotyczące chronionych przedmiotów w tym oknie za pomocą historii trade.
Ważne: Trade Ochrona to ostateczność i nie zastępuje ostrożności. Kiedy anulujesz chronione trade, Steam zwróci przedmioty zaangażowanym stronom, ale twoje konto otrzyma 30-dniowe ograniczenie od trading i korzystania z Rynku Społeczności. O wiele lepiej jest wychwycić problem przed potwierdzeniem w mobilnym uwierzytelnianiu, niż polegać na odwróceniu problemu po fakcie.
Jak sprawdzić swoje konto i zabezpieczyć się przed manipulacją kluczem API Trade
Pierwszą rzeczą do zrobienia jest sprawdzenie, czy na Twoim koncie został wygenerowany klucz API. Jak wspomniano, możesz to zrobić na oficjalnej stronie kluczy Steam Web API: https://steamcommunity.com/dev/apikey. Domyślnie konta nie mają klucza API — nie jest on potrzebny do wysyłania trades ani innych standardowych działań na koncie.
Jeśli klucz istnieje, ale nie został przez Ciebie utworzony, natychmiast go unieważnij i zmień hasło, aby zapobiec manipulacji trade.
Jednak samo unieważnienie klucza API już nie wystarczy. Jeśli wprowadziłeś swoje dane uwierzytelniające na podejrzanej stronie lub potwierdziłeś login QR, powinieneś założyć, że cała Twoja sesja Steam mogła zostać skradziona. W takim przypadku: unieważnij klucz API, zmień hasło Steam, zmień hasło e-mail, wyloguj się ze wszystkich urządzeń, sprawdź ustawienia Steam Guard — i dopiero wtedy ponownie wygeneruj swój adres URL trade.
Aby w pełni odzyskać kontrolę nad swoim kontem Steam, zalecamy również ponowne wygenerowanie adresu URL trade. Możesz to zrobić here.
Gdy będziesz sprzedawać przedmioty naszemu botowi, powiadomimy Cię również, jeśli nasza oferta trade zostanie anulowana. Nie możemy zagwarantować, że oszuści nie uzyskali wcześniej dostępu do Twojego klucza API, sesji ani innych sposobów przechwytywania Twoich trade — ale robimy wszystko, co w naszej mocy, aby pomóc Ci wykryć fałszywą ofertę trade.
Jeśli Twoje trade zostanie anulowane przez Steam, zobaczysz baner ostrzegawczy na naszej stronie (patrz zrzut ekranu poniżej) i usłyszysz alert dźwiękowy.
Nigdy nie spiesz się, aby potwierdzić trade w swoim mobilnym uwierzytelnianiu — zawsze najpierw sprawdź szczegóły bota, do którego wysyłasz elementy (imię i nazwisko, poziom, awatar, data utworzenia konta). Jeśli oszuści próbują zamienić trade, te szczegóły mogą się nie zgadzać.
Sprawdź swoją najnowszą historię trade na https://steamcommunity.com/id/(yourlogin)/tradeoffers/. Jeśli na górze listy zobaczysz dwie identyczne oferty — z których jedna została anulowana — oznacza to, że trade został przejęty. Potwierdzenie pozostałej oferty spowoduje wysłanie Twoich przedmiotów do oszustów, a nie do nas.
Zalecamy również przeprowadzanie transakcji w przeglądarce na komputerze, gdzie możesz otworzyć witrynę i mobilny moduł uwierzytelniający, co znacznie ułatwia weryfikację trade przed potwierdzeniem.
Jeśli już potwierdziłeś podejrzane trade obejmujące CS2 elementy, natychmiast sprawdź swoją historię trade i Trade stan ochrony. Jeśli trade nadal znajduje się w 7-dniowym oknie ochronnym, możesz go anulować za pomocą narzędzi trade Steam. Ale zabezpieczenie konta jest najważniejsze: zmień hasło, unieważnij klucz API, zakończ aktywne sesje i przeskanuj komputer w poszukiwaniu złośliwego oprogramowania.
Jak chronić się przed oszustwami związanymi z kluczami API
Oto kilka dodatkowych kroków, które pomogą zabezpieczyć Twoje konto Steam i sprawią, że skin trading będzie bezpieczniejsza.
Zawsze sprawdzaj każdą witrynę, która prosi Cię o zalogowanie się przez Steam. Domeny phishingowe często różnią się od prawdziwych tylko jednym lub dwoma znakami w adresie URL.
Zanim zalogujesz się przez Steam, sprawdź domenę w pasku adresu – a nie tylko wygląd strony. Prawidłowe logowanie do Steam musi odbywać się przez oficjalną domenę Steam, a nie przez okno osadzone w witrynie strony trzeciej.
Zachowaj ostrożność w przypadku osób, których nie znasz osobiście. Traktuj wszelkie wysyłane przez nich linki ze sceptycyzmem i sprawdź witrynę przed kliknięciem lub podjęciem jakichkolwiek działań w związku z nią.
Steam dodał ostrzeżenia o podejrzanych wiadomościach w czatach bezpośrednich i umożliwia zgłaszanie ich bezpośrednio z okna konwersacji. Brak ostrzeżenia nie oznacza jednak, że łącze jest bezpieczne — żaden filtr nie wyłapuje każdego schematu phishingu.
Zachowaj czujność w przypadku podejrzanych ofert — takich jak zaproszenia na turnieje lub trade od osób, których nie znasz.
Zachowaj duży sceptycyzm, jeśli ktoś napisze do Ciebie wiadomość podając się za pomoc techniczną Steam i poprosi Cię o wysłanie przedmiotów do znajomego lub na inne konto. Częstym pretekstem jest to, że jest to "wymagane" w celu zabezpieczenia Twoich przedmiotów podczas konta "weryfikacja", ponieważ Twój profil rzekomo zawiera skradzione towary. Prawdziwy personel pomocy technicznej Steam nigdy nie doda Cię do znajomych ani nie wyśle Ci wiadomości na czacie. Jeśli zobaczysz powiadomienie w swoim profilu, że jest w trakcie sprawdzania, a następnie otrzymasz wiadomość od "Wsparcia," Twoje konto zostało już przejęte.
Pomoc techniczna Steam nigdy nie poprosi Cię o przeniesienie elementów na "bezpieczne konto," nigdy nie przeprowadzi weryfikacji za pomocą prywatnych wiadomości i nigdy nie poprosi Cię o wysłanie skinów do znajomego, bota lub alternatywnego profilu. Każde takie żądanie jest oszustwem.
Nie instaluj podejrzanych rozszerzeń przeglądarki do zarządzania trade, "automatycznego potwierdzania," sprawdzania cen lub funkcji rynkowych. Złośliwe rozszerzenia mogą modyfikować strony, odczytywać dane przeglądarki i ułatwiać atakującym dostęp do Twojej aktywnej sesji.
Regularnie sprawdzaj, czy na Twoim koncie istnieje klucz API i zwracaj uwagę na podejrzane działania.
Po każdym podejrzanym logowaniu nie poprzestawaj na sprawdzeniu klucza API. Przejrzyj swoją pocztę e-mail, ustawienia Steam Guard, aktywne urządzenia, historię trade i adres URL trade. Jeśli coś wydaje się nie tak — zmień hasło i wyloguj się ze wszystkich urządzeń.
Za każdym razem, gdy wysyłasz komuś przedmioty, sprawdź dokładnie, do kogo tak naprawdę wysyłasz trade.
Do sprzedaży lub trading skinów korzystaj wyłącznie z zaufanych, uznanych witryn stron trzecich.
A co najważniejsze — nie traktuj ochrony Trade jako głównej linii obrony. Może to pomóc w przypadku fałszywego trade obejmującego CS2 elementy, ale bezpieczniejszym podejściem jest wyłapanie podstawienia przed potwierdzeniem trade w mobilnym urządzeniu uwierzytelniającym.
