Сегодня мы хотим рассказать нашим клиентам о мошенничестве которое называется Steam API Scam. Его начали использовать ещё весной 2018, но некоторые пользователи до сих пор попадаются на эту уловку, для них и предназначена эта статья.
Что такое Steam API Scam?
Мошенники воруют API ключ от вашего аккаунта и с его помощью могут управлять входящими и исходящими обменами. Они заменяют оригинальный обмен, на поддельный, который отправляет вещи уже на их бота. Скрипт мошенников копирует имя и аватар бота, и даже сообщение обмена.
Как могут своровать мой API ключ?
Всему виной фейковые окна авторизации, они просят ввести ваши логин, пароль и код Guard, этого достаточно чтобы скрипт создал API ключ и использовал его в дальнейшем. Окно практически ничем не отличается от оригинального, НО отличия всё же есть:
1). Окно выполнено в качестве html элемента на сайте и вы не можете передвинуть его за пределы браузера. (Не всегда)
2). Ссылка авторизации поддельная. Должна быть https://steamcommunity.com/openid/login?openid.ns=
3). Вас просят авторизоваться даже если вы уже авторизованы в браузере.
4). Нельзя изменить язык этого окна
Как они воруют мои предметы?
1). Наш сайт отправляет вам обмен и вы подтверждаете его.
2). Как только вы подтвердили обмен в браузере, пока вы заняты тем что заходите в мобильный аутентификатор для повторного подтверждения - их скрипт уже заменил оригинальный обмен на поддельный и сам его подтвердил.
3). Когда вы зайдете в мобильный аутентификатор и увидите подтверждение для отправки предметов - это уже будет обмен мошенников. Чаще всего люди не замечают этого и сами отдают свои вещи.
Как убедится что обмен от нашего бота?
Мы не можем контролировать то что ваш API ключ не украден, но мы постарались максимально предостеречь вас.
Как только оригинальный обмен будет отклонен и наша система получит эту информацию - на нашем сайте появится вот такая табличка с подробной информацией, а также вы услышите звуковое уведомление.
К сожалению, это не поможет пользователям которые совершают сделку с мобильного телефона, так как в этот момент их браузер будет свернут.
Что делать, если я уже отдал свой API key мошенникам?
1. Смените пароль от аккаунта Steam
2. Удалите API ключ https://steamcommunity.com/dev/apikey
3. Проверьте что ключ не создается вновь и ваши обмены не заменяются на поддельные.