За последнее время не раз появлялись сообщения о пропаже скинов с аккаунта, которая выглядит так: пользователь отправляет скины для продажи или обмена, но они не приходят адресату. Такое может происходить, если мошенники получили доступ к API-ключу аккаунта и подменяют трейды. Узнайте, как это работает и как защитить свой аккаунт.
Что такое API-ключ
API-ключ – это уникальная комбинация букв и цифр, которая позволяет контролировать учетную запись. Она используется для идентификации аккаунта. Это означает, что, если злоумышленнику удалось заполучить ваш ключ, он сможет подменять ваши трейды. В результате предметы, которые вы отправите другому человеку, окажутся у мошенника или, наоборот, вы не получите скины, которые отправили вам.
По умолчанию API-ключа у аккаунта нет. Для отправки трейдов и других обычных действий в аккаунте он не нужен – его используют разработчики, например, когда создают приложения, взаимодействующие со стим. Чтобы проверить, есть ли такой ключ у вас, перейдите по ссылке https://steamcommunity.com/dev/apikey. Если ключ не создан, будет отображаться подобная страница:
Если после ссылки вы видите ее, волноваться не о чем. К вашему аккаунту не привязан API-ключ, а значит, злоумышленники не могут использовать его, чтобы получить доступ. Если же ключ есть, советуем удалить его (кликнуть по кнопке «Отозвать API-ключ»), выйти на всех устройствах (это можно сделать через приложение Steam Guard) и сменить пароль аккаунта.
Как происходит мошенничество
Сейчас аккаунты пользователей защищены Steam Guard, поэтому мошенникам сложно напрямую получить доступ к управлению ими. Они используют схему из нескольких шагов, обманом заставляя самого владельца аккаунта выдать им доступ. Вот как это происходит:
Пользователь заходит на непроверенный сайт, где требуется зайти через аккаунт Steam.
Этот сайт крадет данные аккаунта и внедряет на него API-ключ.
С помощью ключа происходит подмена трейда. Теперь, кому бы вы ни отправили скины, они попадают мошенникам.
Из-за того, что многие пользователи уже знают об этой схеме и проявляют осторожность, мошенники придумывают и более сложные ходы. Суть их действий остается неизменной - заставить пользователя сначала залогиниться на фишинговом сайте, а затем отправить кому-нибудь обмен. Но злоумышленники используют методы социальной инженерии, то есть втираются в доверие к игрокам и убеждают их совершить нужные действия, например, так:
Игрок, которого вы не знаете лично, предлагает вам принять участие в турнире на стороннем сайте. Он говорит, что якобы у них уже собралась команда и не хватает только одного участника. Часто перед этим он поддерживает общение с игроком в течение нескольких дней или даже недель, так что между ними устанавливается доверие.
Авторизация на сайте, где якобы проводится турнир, приводит к тем же последствиям – появлению в аккаунте API-ключа, доступного злоумышленнику.
Затем мошенник убеждает игрока под каким-то предлогом передать скины другому пользователю. Например, рассказывает, что на турнире нельзя выступать со слишком дорогим инвентарем, и часть предметов нужно передать знакомому. Игрок отправляет скины тому, кому он доверяет, но адресату они не приходят из-за того, что мошенник перехватил API-ключ и подменил трейд.
При этом, если посмотреть на историю трейдов в аккаунте, там обнаружится два предложения обмена с одинаковыми предметами – одно из них для реального адресата, а другое – для мошеннического бота. Мошенники используют информацию из аккаунта пользователя и подменяют ник и аватарку бота так, чтобы его было не отличить от настоящего адресата.
Как видно, схема та же, но из-за того, что она скрыта за множеством других действий, распознать ее сложнее. Теперь мошенники готовы тратить больше времени, чтобы втереться в доверие к игроку и получить доступ к его аккаунту. Главное для них – добыть API-ключ, а после этого в ход идут разные способы убеждения.
Например, помимо описанного выше варианта, они могут написать от имени поддержки Steam и обвинить пользователя в получении ворованных предметов. Для убедительности они могут удалить из вашего аккаунта друзей и добавить в описание надпись о том, что была замечена подозрительная активность. Затем они убеждают, что для проверки аккаунта нужно отправить предметы кому-нибудь из друзей, а дальше всё происходит по той же схеме.
Что делать, чтобы не попасться
Таким образом, чтобы заполучить скины, мошенники преследуют две цели – создать на аккаунте игрока API-ключ, а затем заставить его подтвердить обмен. Чтобы замаскировать эти действия, они могут придумывать довольно запутанные истории. Поэтому, чтобы не потерять ценные скины, соблюдайте следующие правила:
Читайте отзывы о сайте на сторонних ресурсах, прежде чем логиниться через Steam. Не участвуйте в сомнительных турнирах.
Будьте осторожны, когда общаетесь с пользователями, которых не знаете лично. Осторожно относитесь к ссылкам, которые они вам присылают. Поищите информацию о них, прежде чем переходить по ним или совершать какие-то действия на этих сайтах.
Периодически проверяйте, не появился ли у вашего аккаунта API-ключ, чтобы вовремя заметить подозрительную активность.
Будьте осторожны, если кто-то пишет вам от имени службы поддержки Steam. Если такие сообщения приходят через обычный чат, это мошенники. Настоящие сотрудники службы поддержки не станут добавляться к вам в друзья и писать в чат.
Переходя по ссылкам, проверяйте, не попали ли вы на фишинговый сайт. Часто ссылка в адресной строке может отличаться от подлинной одной-двумя буквами.
Когда отправляете кому-то предметы, внимательно проверяйте, кому отправляете трейд.
Используйте только проверенные сторонние сайты для продажи или обмена скинов.
Следуйте этим правилам, и ваш аккаунт будет в безопасности.