Steam API Scam – это вид мошенничества, при котором злоумышленники получают доступ к API-ключу вашего профиля. API-ключ – это уникальный код, который дает доступ к действиям над вашим аккаунтом Steam. Мошенники используют его для подмены трейдов, в результате чего ваши предметы могут быть украдены в момент совершения обмена с другом или даже проверенным маркетом скинов.
Как крадут данные с помощью Steam API Scam?
Чаще всего это делают фишинговые сайты, которые крадут ваши данные в момент, когда вы логинитесь на них с использованием Steam. Это могут быть сайты-двойники легитимных платформ или маркетов, а также любые другие сайты, якобы предоставляющие полезные инструменты или аналитику для игроков.
Наткнуться на них вы можете сами, воспользовавшись поисковиком (именно поэтому мы категорически не рекомендуем переходить по первым ссылкам с оплаченной рекламой и вообще советуем сохранить наш сайт в избранное, чтобы избежать перехода на фейк). Но нередко в этой схеме задействованы и обычные пользователи Steam, которые могут предложить вам перейти по их ссылке и выполнить определенное действие:
зарегистрироваться на участие в турнире по любимой игре;
проголосовать за “созданный ими” предмет в Мастерской и т.д.
Как защититься от Steam API Scam?
Чтобы распознать мошенничество со Steam API, важно оставаться бдительным. Попав на сайт, вы в большинстве случаев даже не заподозрите, что он используется в мошеннических целях: он может выглядеть идентичным оригиналу (если это сайт-двойник) или вполне надежным (если мы говорим о других схемах).
Поэтому вы без каких-либо сомнений начнете листать сайт и в какой-то момент, для использования определенного функционала, вам потребуется авторизоваться через Steam. Вот здесь и будет крыться основное отличие надежного сайта от мошеннического.
Если вы предварительно авторизовались в Steam в браузере, то:
Не мошеннический сайт: Предложит войти с помощью вашего аккаунта Steam, для чего понадобится просто нажать на зеленую кнопку “Войти”.
Мошеннический сайт: Предложит вам войти в ваш аккаунт Steam, для чего потребуется ввести данные от аккаунта или отсканировать QR-код.
Если вы введете свои данные или отсканируете код, подтверждая вход, злоумышленники автоматически получат доступ к вашей учетной записи Steam.
Как работает Steam API Scam?
У вас сгенерируется ключ Steam API (на этой странице: https://steamcommunity.com/dev/apikey), причем вы этого не заметите, ведь в Steam не предусмотрено какое-либо уведомление пользователя в таких ситуациях.
А затем – ничего. По крайней мере, в первое время и при обычных сценариях Steam API Scam. Вы продолжите заниматься своими делами, играть в любимые игры и т.д. И только когда вы решите обменять свои предметы (а это может случиться, например, и через несколько дней или месяцев), мошенники смогут украсть ваши предметы через Steam API Scam через подмену трейда.
При отправке предметов другу/маркету/на другой свой аккаунт, благодаря наличию Steam API Key, злоумышленники моментально отменят оригинальный трейд и пришлют новый, свой. Если вы посмотрите на историю трейдов в аккаунте, то увидите там два предложения обмена с одинаковыми предметами – одно из них для реального адресата, а другое – для мошеннического бота. К тому же более продвинутые мошенники могут использовать информацию из аккаунта пользователя и подменять аватарку или другие данные бота, чтобы он был похож на настоящего адресата. Как только вы примете трейд, ваши скины будут отправлены мошенникам, а не тому, кому вы хотели их передать.
Как проверить свой аккаунт и защититься от мошенничества с API-ключом при обмене?
В первую очередь советуем проверять наличие сгенерированного API-ключа. Еще раз, сделать это можно по ссылке: https://steamcommunity.com/dev/apikey. По умолчанию его у аккаунта нет, поскольку для отправки трейдов и других обычных действий в аккаунте он не нужен.
Если ключ есть и он был создан без вашего ведома, немедленно удалите его и смените пароль, чтобы защититься от подмены трейда в Steam.
Также для возврата полного контроля над вашим аккаунтом Steam мы советуем сменить вашу ссылку на обмен. Сделать это можно здесь.
Когда вы продаете предметы нашему боту, мы также уведомим вас, если наш обмен с вами будет отменен. Мы не можем гарантировать, что раньше мошенники не получили доступ к вашему API-ключу, но делаем всё, чтобы вы могли распознать фейковый обмен.
Если ваш обмен будет отклонен Steam, вы увидите предупреждающую табличку на нашем сайте (см. скриншот ниже) и услышите звуковой сигнал.
Ни в коем случае не спешите подтверждать обмен в мобильном аутентификаторе – сначала проверьте данные бота, которому отправляете предметы (имя, уровень, аватар, дату регистрации). Если мошенники пытаются подменить обмен, эти данные могут отличаться.
Проверьте последние предложения обмена по ссылке https://steamcommunity.com/id/(ваш логин)/tradeoffers/. Если вы видите последними два одинаковых предложения, одно из которых отменено, значит мошенники подменили трейд. Если вы его примите, ваши предметы будут отправлены не нашему боту.
Также советуем оформлять сделку через браузер компьютера, тогда вы сможете открыть одновременно сайт и мобильный аутентификатор, а значит, проконтролировать обмен будет проще.
Как защититься от скама с API-ключом?
Вот несколько дополнительных рекомендаций, которые помогут вам защитить аккаунт Steam от мошенников и безопасно обменивать скины.
Всегда проверяйте подлинность сайтов, на которых требуется авторизация через Steam, проверяйте, не попали ли вы на фишинговый сайт. Часто ссылка в адресной строке может отличаться от оригинальной одной-двумя буквами.
Будьте осторожны, когда общаетесь с пользователями, которых не знаете лично. Осторожно относитесь к ссылкам, которые они вам присылают. Поищите информацию о них, прежде чем переходить по ним или совершать какие-то действия на этих сайтах.
Будьте внимательны к подозрительным предложениям, например, участию в турнирах или обменах с незнакомыми людьми.
Будьте осторожны, если кто-то пишет вам от имени службы поддержки Steam и предлагает отправить ваши предметы другу или на другой аккаунт. Часто используется аргументация, что это необходимо, чтобы сохранить их при прохождении “верификации” вашего аккаунта, поскольку у вас в профиле есть “ворованные предметы”. Настоящие сотрудники службы поддержки не станут добавляться к вам в друзья и писать в чат. Если вы увидели в вашем профиле уведомление, что он на проверке, и вам пришло подобное сообщение от “поддержки”, знайте, у мошенников уже есть доступ к вашему аккаунту.
Регулярно проверяйте наличие API-ключа и следите за подозрительной активностью в своем аккаунте.
Когда передаете кому-то предметы, внимательно проверяйте, кому отправляете трейд.
Используйте только проверенные сторонние сайты для продажи или обмена скинов.