Skinwallet - PL - CS:GO Blog

Zabezpiecz swoje konto Steam przed oszustwem z kluczem API


Od samego początku handlu przedmiotami CS:GO, społeczność była ofiarą całych plag zmyślnych oszustów. Podejmowane wspólne wysiłki by wyłapać i zablokować oszustów i choć odkryto już wiele metod, którymi strony phishingowe posługują się, by wyłudzić dane, nawet wprawiony handlarz może stać się celem zmyślnego złodzieja.

Jedną z najpopularniejszych, a zarazem najbardziej skomplikowanych metod na kradzież jest scam klucza sieciowego API – łatwo go jednak rozpoznać, jeżeli wiemy na co uważać.

Jak zwykle wygląda oszustwo z kluczem sieciowym API Steam

Oszustwo, o którym tu mówimy, może zostać sprowadzone do paru kroków..

  1. Oszust bierze sobie za cel popularny market albo inną stronę, która używa kont Steam do logowania się i tworzy kopię tej usługi pod niemalże identycznym adresem, czasem nawet reklamując tę kopię na sieci.
  2. Potencjalni użytkownicy, którzy nie rozpoznali fałszywej strony, używają swoich danych Steam do zalogowania się, przekazując oszustowi wystarczającą ilość informacji, by spreparować obsługę Steam Guard i monitorować aktywność użytkownika przez sieciowy klucz API.
  3. Gdy taki przejrzany użytkownik otrzyma lub wyśle ofertę wymiany, bot oszusta automatycznie odrzuca tę ofertę i podstawia w zamian swoją – podobną, lecz nieprawdziwą. Oszuści przygotowują te boty tak, że mają one podobne lub identyczne nazwy, co boty usługi, pod którą się podszywają.
  4. Jako że fałszywa oferta wygląda tak samo (wiadomość mówi w końcu o tej samej wymianie), a prawdziwa została już odrzucona, użytkownik potwierdza ofertę wymiany, w ten sposób przekazując złodziejowi swoje cenne przedmioty z gier za darmo.
  5. Jeżeli użytkownik spojrzy po fakcie w historię wymiany, zobaczy, że dwie oferty wymiany zostały wysłane po sobie, z czego wcześniejsza jest odrzucona, choć żadnej nie odrzucał.

Czy można odczynić takie oszustwo?

To może trochę zaboleć, ale nie, nie można wrócić czasu. Jeżeli ktoś zaakceptował wymianę, zgodnie ze wszystkimi regulaminami usługi – tak Steama, jak i wszystkich zewnętrznych usług – zrobił to własnowolnie i na własną odpowiedzialność. Trzeba przyjąć to jako kosztowną lekcję uważności.

De-scamming, czyli jak odzyskać bezpieczeństwo

Ten scenariusz wyłudzenia funkcjonuje już od dłuższego czasu i niestety, jeżeli użytkownik sam nie będzie uważał, nie można na niego zaradzić systemowo. Na szczęście, jeżeli raz spotkało cię to nieszczęście, istnieje procedura, która pozwoli ci uchronić się przed kolejnymi atakami oszustów przy pomocy twojego klucza API.

  1. Przede wszystkim natychmiast zmień hasło do konta Steam. To powinno automatycznie wylogować twoje konto ze wszystkich instancji, o których możesz nie wiedzieć.
  2. Wejdź na http://store.steampowered.com/twofactor/manage i cofnij autoryzację wszystkich urządzeń, które mają pozwolenie na logowanie się do twojego konta Steam. To kolejny krok, który pozwoli ci się upewnić, że nikt nie będzie logował się do twojego konta bez twojej wiedzy.
  3. Przejdź do strony klucza API Steam i kliknij “Unieważnij mój klucz Steam Web API”. To sprawi, że twój dotychczasowy klucz przestanie działać i wygeneruje nowy. W ten sposób upewnisz się, że nikt nie przechwytuje informacji o twojej aktywności.
  4. Zresetuj swój adres wymiany Steam. To uniemożliwi oszustom wysyłania tobie fałszywych ofert wymiany nawet gdy utracą dostęp do twojego konta. Pamiętaj, żeby podać nowy adres wymiany Steam na stronach, których używasz, byś mógł kontynuować bezproblemowo handel za ich pomocą.

Trzy sposoby na ochronę konta Steam

By w przyszłości wymieniać się bezpieczniej, dobrze jest upewnić się, że nie padniesz ofiarą oszustów ponownie. Poniżej znajdziesz trzy sposoby, dzięki którym twoje konto Steam będzie bezpieczniejsze. Prawdopodobnie dalej zdarza się okazje, gdy złodzieje będą próbowali dostać się do twojego konta, ale dzięki poniższym metodom łatwiej będzie ci przeciwdziałać ich atakom.

Autoryzuj tylko zaufane domeny na koncie Steam

Jeżeli dana strona każe ci zalogować się za pomocą konta Steam, upewnij się, że odbywa się to za pomocą rzeczywistego okienka lub widgetu Steam, a nie przez jakiś spersonalizowany adres. Interfejs Steam poinformuje cię o tym, że zamierzasz użyć strony zewnętrznej. Poza tym środowiskiem nie podawaj swojego loginu i hasła do konta Steam.

Zmiany hasła i adresu wymiany

Regularne zmiany hasła do konta Steam oraz adresu wymiany Steam to dobra metoda upewnienia się, że nikt nie śledzi twoich transakcji. To też dobry sposób, by przerwać sesję na wszystkich urządzeniach, na których zalogowane jest twoje konto, co uniemożliwia botom oszustów dostanie się do twojego konta. Możesz to zrobić używając opcji “Zapomniałem hasła” lub “Zmień hasło”. Ta pierwsza opcja pozwoli ci kontynuować wymianę zaraz po zmianie, ta druga zaś będzie wiązała się z tymczasowym wstrzymaniem wymiany.

Sprawdź dokładnie każdą ofertę

Za każdym razem, gdy zamierzasz zaakceptować ofertę wymiany z botem używanej usługi, pamiętaj, aby sprawdzić, czy ten bot ma wszystkie cechy wymienione przez specyfikację tej usługi. Również gdy sprawdzisz historię ofert i zobaczysz, że są dwie oferty od bota o tej samej lub podobnej nazwie, jedna z nich jest anulowana, ale nie przez ciebie, możesz mieć pewność, że to próba oszustwa.

Podsumowanie

Oszustwo poprzez klucz Web API Steam przypomina plagę karaluchów świata handlu skórkami – jest trwałe, ciężkie do wykrycia i ciężkie do usunięcia. Jedyna rzecz, która cię przed nim uratuje, to twoja własna ostrożność oraz przestrzeganie zasad i wskazówek Steama oraz zewnętrznych usług, z których korzystasz za pomocą konta Steam. Jeśli padniesz ofiarą oszustwa, istnieją sposoby zabezpieczenia się przed przyszłymi atakami. Życzymy bezpieczeństwa i jeszcze raz, nieustannie, zalecamy ostrożność.