Как уберечь свой Steam аккаунт от скама с использованием ключа Web API
Практически сразу после появления платформы Steam и рынка обмена внутриигровых предметов аккаунты пользователей начали подвергаться мошенническим атакам и попыткам взлома. И это не удивительно, так как виртуальное золото в виде скинов КС ГО – лакомый кусочек для многих любителей легких денег. Стоимость раскрасок КС ГО на рынке Stream может достигать даже нескольких тысяч долларов. Например, за Штык-нож M9 | Кровавая паутина “Немного поношенное” сегодня нужно заплатить около тысячи американских долларов. А Керамбит | Волны такого же уровня износа обойдется минимум в 620 $. Если содержимое вашего CS GO инвентарь с натяжкой достигает каких-то десяти долларов, позаботиться о его защите все равно нужно. С каждым годом уловки мошенников становятся все более изощренными. Вы удивитесь, но даже опытные трейдеры иногда попадаются на уловки мошенников. Поэтому, в данном руководстве мы расскажем об одном из самых популярных и продвинутых методов скама в 2020 году. Речь пойдет о скаме с ключами веб-API.
Как обычно выглядит мошенничество с ключами Steam Web API?
Ключ Steam Web API – это определенная комбинация букв и цифр, которая позволяет контролировать учетную запись Steam. С ее помощью можно запросто получать информацию о торговом предложении, которое высылает бот надежного торгового сервиса пользователю, когда тот хочет продать свои скины КС ГО. Развод пользователей на Steam аккаунт с ключами веб-API в общих чертах выглядит таким образом:
- Мошенники используют айдентику популярных торговых площадок, где как один из способов авторизации перечислено учетную запись Steam. Затем, заманивают пользователей на фейковый сайт почти с идентичным веб-адресом, оформлением интерфейса итд. и поддельной формой авторизации. Иногда, они даже не скупятся рекламировать фейковые страницы.
- Доверчивый пользователь, которые вовремя на распознали подвох и перешли по фейковому веб-адресу, попадают на фальшивый веб-сайт. Авторизируется на нем посредством логина и пароля Steam. Вот тут-то и происходит перехват персональных данных. Завладев данными к аккаунту клиента, хакеры с легкостью обходят функцию Steam Guard и могут спокойно отслеживать действия пользователя с помощью ключа веб-API.
- Как только скомпрометированный пользователь инициирует или получает торговое предложение, мошеннический бот автоматически отменяет сделку и высылает собственное поддельное предложение. Мошенники следят за тем, чтобы их боты имели то же имя и/или аватар, что и боты торговых сервисов.
- Поскольку фальшивое предложение невозможно отличить от настоящего (в сообщении содержится тот же номер сделки), а реальная сделка уже отменена, пользователь добровольно дает согласие на скам и навсегда теряет контроль над теми скинам КС ГО, которые они только что пытался обменять или продать за реальные деньги.
- Если обманутый трейдер захочет ознакомится с историей полученных торговых предложений, то с удивлением для себя увидит два практически одинаковых оффера, при чем оригинальный будет числиться как отклоненный.
Есть ли способ выйти сухим из воды, если уже заглотил наживку?
Возможно, ответ огорчит вас, но, к сожалению, такой возможности нет. Нельзя вернуть время вспять. Если во время продажи скинов в нашем или каком-либо другом сервисе, вы добровольно приняли фальшивое предложение от фейкового бота, то вы и только вы несете за это ответственность. Помните, что принимая торговое предложение, вы соглашаетесь c условиями пользования торговой площадкой Steam Marketplace или другим надежными сервисами. К сожалению, то, что вы имели неосторожность передать данные к своему аккаунту мошенникам – ваша вина. Конечно, потеря ценных скинов может быть для вас очень болезненной. Но это ценный урок. Впредь дважды подумаете прежде чем логиниться на подозрительных сайтах.
Возвращаем контроль над своим аккаунтом
Выше мы достаточно подробно продемонстрировали как выглядит сценарий скама с использованием ключа веб-API. Добавить нужно, что данный метод не нов. Но достаточно эффективен. Поэтому, если пользователь не готов придерживаться базовых рекомендаций безопасности – ему нечего делать на рынке торговли внутриигровыми предметами CS GO. Для тех же, кто хочет научится самостоятельно вычислять риски подобных манипуляций с ключами API, мы подготовили несколько дельных советов. Вот они:
Совет №1. Когда вы заподозрили, что ваши персональные данные могли попасть в чужие руки, немедленно смените пароль своей учетной записи Steam.
Совет №2. Перейдите по ссылке: http://store.steampowered.com/twofactor/manage и отвяжиет все устройства, выбрав опцию “Выйти на всех других устройствах”. Это еще одна мера, которая позволит уберечь ваш аккаунт от входа в ваш профиль без вашего ведома.
Совет №3. Возьмите за привычку регулярно менять свой Steam Web API ключ. Для этого перейдите на страницу ключа Steam API и нажмите «Отозвать мой ключ Steam Web API». Новый ключ будет сгенерирован системой автоматически.
Совет №4. Сбросьте вашу текущую ссылку на обмен Steam URL. Таким образом мошенники не смогут вам больше отправить ложное предложение обмена.
3 способа защитить свой аккаунт Steam
Чтобы процесс торговли скинами КС ГО был для вас максимально приятным и эффективным, мы подготовили еще три рекомендации. Конечно, никто не может гарантировать на все 100%, что в будущем сторонние лица не будут прибегать к попыткам заполучить данные вашего Steam аккаунта. Но, как гласит известная пословица, предупрежден — значит вооружен. Вооружитесь в знания и вы!
Используйте вашу уникальную ссылку на обмен (Steam URL) только для авторизации на проверенных торговых площадках
Если веб-сайт требует от вас входа через учетную запись Steam, убедитесь, что авторизация проходит в всплывающем окне или виджете Steam, а не через какой-либо пользовательский адрес. Steam всегда высылает уведомление, когда пользователь собираетесь использовать свою учетную запись для входа на сторонний веб-сайт.
Регулярно меняйте свой пароль к аккаунту и активный Trade URL
Это прекрасный способ, чтобы убедится, что никто не отслеживает ваши действия и реализуемые транзакции. Таким образом вы минимизируете риски получения офферов от мошеннических ботов. Пароль можно поменять, нажав на кнопку «Забыли пароль» или «Изменить мой пароль». Первая опция более удобна, так как позволят избежать блокировку обмена скинов на определенный период.
Дважды проверяйте номер и другие данные торгово предложения прежде чем согласиться на сделку
Резюме
Скам с использованием ключей WEB API – настоящее бедствие для сферы оборота виртуальных предметов из игр корпорации Valve. Его трудно обнаружить и, как следствие, избавиться от него. Единственное, что действительно может вас спасти – так, это ваша собственная осторожность и последовательное соблюдение политики конфиденциальности и пользовательского соглашения Steam и других сервисов. Благодаря данному руководству вы сможете самостоятельно обезопасить свой аккаунт Steam, если имели неосторожность позволить мошенникам украсть ваши скины КС ГО.
Зарегистрировать ключ веб api steam что это
Некоторые методы веб-API возвращают общедоступные данные и не требуют авторизации. Другие же могут потребовать уникальный ключ API. Отдельные методы, возвращающие конфиденциальные данные или выполняющие защищённые действия, требуют специальных разрешений. Для них требуется издательский ключ, который будет необходимо создать до того, как отправлять вызовы. В случае, если требуется ключ API, его можно предоставить как стандартный параметр или как значение «x-webapi-key» в заголовке запроса.
Пользовательские ключи
Стандартные пользовательские ключи доступны всем, у кого есть аккаунт Steam и доменное имя, связанное с этим ключом.
Вы можете создать новый ключ веб-API Steam на странице регистрации ключа.
Издательские ключи
Для безопасной идентификации и использования защищённых методов издатель может запросить ключ веб-API, который передаётся соответствующим методам как параметр «key». Каждый ключ привязан к издательской группе и может быть использован для доступа к данным всех приложений, связанных с этой группой. Инструкции см. в разделе «Создание издательского ключа веб-API» ниже.
Издательские ключи веб-API предоставляют доступ к конфиденциальным пользовательским данным и защищённым методам. Они могут быть использованы только для запросов веб-API с защищённых серверов издателя. Ключи должны храниться защищённым образом и не могут распространяться с игровым клиентом. Все запросы с ключами веб-API должны отправляться через протокол HTTPS.
Создание издательского ключа веб-API
Для создания издательского ключа веб-API вам потребуются права администратора в аккаунте Steamworks. Если вы не являетесь администратором, найдите необходимого человека в списке администраторов вашего партнёрского аккаунта на главной странице Steamworks. Любой из них может создать ключ или дать вам администраторские права, если это допустимо.
- Если у вас есть права администратора в аккаунте Steamworks, откройте страницу со списком групп пользователей, выбрав «Пользователи и разрешения», а затем — «Управление группами».
- Создайте или выберите группу, обладающую приложениями, для которых вам требуется ключ веб-API.
- Нажмите на эту группу, чтобы увидеть относящихся к ней пользователей и приложения.
- Если у вас есть права администратора, справа вы увидите кнопку «Создать ключ веб-API». Либо, если ключ уже был создан, вы увидите его.
Steamworks — это набор инструментов и служб от Valve, позволяющих настроить и поддерживать игру в Steam.
- Документация
- Главная
- Подготовка к работе
- Облик в магазине
- Возможности
- Финансы
- Продажи и продвижение
- SDK Steamworks
- Лицензирование интернет-кафе
- SteamVR
- Материалы
- SteamVR
- Программа интернет-кафе Steam
- Обсуждения Steamworks
- Видеоруководства по Steamworks
- Связаться с поддержкой
- Новости и обновления
- Блог Steamworks
- Блог Steam
- Блог SteamVR
- Блог Steam Deck
Для тех, кто не хочет потерять свои скины
Небольшая заметка о том, как мошенники могут угнать у вас вещи из инвентаря, а вы даже не заметите этого.
В связи с недавними изменениями в системе трейда CSGO, наш маркет по CSGO работает через специальную программу, требующую генерацию API ключа Steam.
Так что если продаете у нас — не пугайтесь, если у вас появится API ключ. Однако ответственность за защиту доступа к аккаунту все еще на вашей совести. Мошенник не должен узнать этот API ключ, поэтому следите за тем, куда вы вводите код подтверждения из Steam Guard. Пользуйтесь только проверенными сайтами и программами.
Угон вещей с помощью API ключа Steam
Что происходит
Пользователь пополняет какой-нибудь сайт скинами, но деньги на сайт не приходят. Оказалось, он отправил их мошеннику, однако проверочный код трейда совпадал.
Как это происходит?
1) Пользователь нажимает кнопку пополнение счет на сайте
2) Бот сайта присылает пользователю трейд с секретным кодом
3) Мошенник, имеющий доступ к API ключу пользователя, получает информацию о трейде — проверочный код, имя бота, список вещей, которые пользователь собирается отдать настоящему боту.
4) Мошенник, используя API ключ пользователя, отменяет трейд, который прислал бот настоящего сервиса
5) Мошенник меняет ник своего бота и присылает пользователю трейд с таким же проверочным кодом и с таким же списком вещей.
6) Пользователь принимает трейд, даже не замечая подмены. Процесс скорее всего полностью автоматизирован.
Что такое API ключ?
Это комбинация цифр и букв, которая дает доступ действиям над аккаунтом Steam. Конкретно мошенники используют его для получения информации о трейдах и для их отмены.
Как мошенник узнает API ключ пользователя?
С помощью заманивания пользователей на сайт с поддельной формой авторизации — пользователь вводит логин и пароль с проверочным кодом из аутентификатора и фейковый сайт моментально создает API ключ, который он в последствии использует.
Ниже приведены примеры таких поддельных форм.
Форма авторизации открывается в маленьком окне. Поле адреса страницы пустое. Логин и пароль не заполняются автоматически, если сохранены в браузере.
Чуть более продвинутая версия скам формы.Форма авторизации открывается в маленьком окне. Поле адреса поддельное, сделано в виде HTML элемента. Логин и пароль не заполняются автоматически, если сохранены в браузере.
Без действий со стороны пользователя, получить этот ключ невозможно.
Как проверить не взломан ли мой аккаунт?
Зайдите сюда https://steamcommunity.com/dev/apikey и проверьте сгенерирован ли у вас на аккаунте API ключ.
Если аккаунт чист — никакого ключа там не будет.
Если если там есть ключ и вы его не создавали САМОСТОЯТЕЛЬНО (или его не создала программа market.app) то ваш аккаунт 100% взломан.
Еще можно попробовать продать что-то дорогое или пополнить счет с помощью SkinPay
Перед подтверждением трейда в телефоне зайдите сюда
http://steamcommunity.com/id/me/tradeoffers/
Если увидите 2 трейда с одинаковыми проверочными кодами, причем один отмененный а другой нет — ваш аккаунт взломан 100%
Как вернуть предметы которые переданы через поддельный трейд?
Никак.
Компенсаций от маркета за подобное не предусмотрено.
Как «вылечить» аккаунт?
Если вы не создавали API ключ и не знаете зачем он нужен — зайдите сюда https://steamcommunity.com/dev/apikey и немедленно удалите его, нажатием кнопки Revoke My Steam Web API Key
Зайдите сюда https://store.steampowered.com/twofactor/manage и нажмите «Выйти на всех других устройствах»
После этого смените пароль в Steam и обязательно следите за тем, чтобы API ключ не появился вновь.
Отправьте ссылку на эту заметку всем своим друзьям, чтобы они не попались на это. Предупрежден — вооружен.
Настройка API для Steam
Steam не отдает почту пользователей, так как у них в правилах прописано, что это персональная информация.
- Войдите в ваш Steam аккаунт или зарегистрируйтесь и затем зайдите
- Зайдите на страницу «Зарегистрировать новый ключ Steam Web API»
- Введите ваш домен, нажмите галочку подтверждающую согласие
- Нажмите кнопку «Зарегистрироваться»
- На следующей странице вы увидите ваш API ключ, вот пример:
- Скопируйте «Ключ», он вам понадобиться в настройках AnyComment
- Далее вставьте API ключи в настройках AnyComment