В последние месяцы количество фишинговых ботов и сайтов резко возросло. Атаки «посредника» направлены на перехват и сбор идентификаторов пользователей и данных аутентификации, чтобы в дальнейшем получить доступ к их денежным средствам и другим активам, таким как ваши внутриигровые предметы в Steam.

Популярные трюки социальной инженерии уже не эффективны, по крайней мере, для опытных пользователей, так как Valve представила свое оружие кибербезопасности, именуемое Steam Guard .

Благодаря двухфакторной аутентификации киберпреступникам стало намного сложнее украсть или иным образом неправомерно использовать данные вашего аккаунта.

Все транзакции между пользователями на сайте должны быть подтверждены через электронную почту или, лучше всего, через смартфон пользователя.

К сожалению, кибер-мошенники изобретают новые способы обмануть геймеров. Одна из новых популярных фишинговых угроз для учетных записей пользователей в Steam — это скам с ключами Web API .

Это также применительно и для любого другого цифрового рынка, где для подтверждения транзакций используются личные ключи API.

Вот как работает классический обман:

  1. Мошенники приманивают и ищут своих потенциальных жертв, используя общедоступные рекламные инструменты Google, такие как исследование и анализ ключевых слов для сбора информации на популярных веб-сайтах и торговых площадках, которые в основном посещают геймеры и другие пользователи.
  2. После оценки результатов поиска обычного игрока киберпреступники используют средства прямой рекламы, такие как Google AdWords, для создания высокого рейтинга своих поддельных сайтов. Адрес мошеннического сайта всегда выглядит почти идентично подлинному, за исключением нескольких добавленных или неправильно написанных символов.
  3. Как защитить API Steam
    Поддельный сайт благодаря использованию рекламы Гугл находится выше настоящего в поисковой выдаче, имея дополнительные буквы nf в домене (на данный момент применимо к опскинс это исправлено на стороне Гугл)
  4. Невнимательный пользователь нажимает верхнюю ссылку на странице результатов поиска, которая не является настоящей, и ведет его на фишинговый сайт.
  5. Поддельные сайты обычно полностью копируют оригинальный интерфейс, домашнюю и лэндинг-страницы, вынуждая обманутых пользователей войти с помощью своего аккаунта и оставить свои личные данные, такие как логин и пароль. Вот где мошенники начинают свою работу по краже учетных записей пользователей.
  6. Когда данные учетной записи извлекаются, злоумышленники получают полный контроль над похищенными учетными записями Steam и получают ключи API для мониторинга дальнейших транзакций.
  7. Мошенничество вступит в действие, как только пользователь решит купить или продать свои игровые предметы в Steam или на любой схожей площадке.
  8. Как только бот Steam отправляет пользователю настоящее предложение обмена, бот мошенника немедленно отменяет трейдоффер (благодаря имеющемуся у мошенника API key жертвы) и создает свое поддельное предложение, отправляя его на мобильный телефон или адрес электронной почты пользователя.
  9. Поскольку поддельные и настоящие предложения обмена выглядят совершенно одинаково (в обмене участвуют те же самые предметы), жертва подтверждает обмен с помощью своей электронной почты или приложением для аутентификации на мобильном телефоне. С этого момента все предметы исчезли из инвентаря пользователя навсегда.
    Если жертва проверит историю своих обменов, она может увидеть, что есть два предложения обмена, где реальное предложение было отменено.
API Steam ключ

Вот так выглядит попытка похищения предметов с помощью API key. Мошенник отправил трейд на те же предметы, добавив сопутствующее сообщения настоящего бота lootfarm.

Единственное отличие — мошенник не предложил предметы, участвующие в обмене, и не успел изменить ник/аватарку под бота. Поэтому этот пользователь не попался на этот трейд (вероятно, не обратил на него внимания, приняв настоящий).

Но при использовании сайта, где требовалось только пополнение своего счета скинами, он не обратил внимания на бота и отдал все свои предметы тому же мошеннику:

API Steam

Если открыть профиль одного из таких мошенников и периодически обновлять страницу, то можно заметить, как меняется ник и аватарка мошенника в зависимости от имитируемого сайта.

Имея это в виду, давайте выясним, что может сделать обычный пользователь, чтобы предотвратить такое мошенничество и сохранить свою учетную запись Steam в целости и сохранности от мошеннических атак?

Практически ничего не поделать с отображением мошеннических сайтов в топе поиска Google, за исключением отправки жалоб в службы их технической поддержки.

Но все равно, принятие мер со стороны техподдержки Гугл займет какое-то время, поэтому большое количество жертв неизбежно.

Как вернуть предметы, которые были переданы через поддельный трейд оффер?

Никак. Конечно, вы можете написать в техподдержку стима о мошеннических действиях, подкрепить это дело скриншотами и запросить возврат, но шансы на возврат невероятно малы.

Однако пользователи могут защитить свои собственные учетные записи Steam, выполнив несколько простых шагов.

4 способа избежать взлома аккаунта

Классическое правило здесь «лучше обезопасить себя, чем потом сожалеть» . Есть несколько простых вещей, которые вы можете сделать заранее, чтобы защитить свой аккаунт Steam (или любой другой) от мошенничества и кражи.

    • Аутентификация только через Steam и сайты, которым вы доверяете. Чтобы свести к минимуму ваши шансы на серьезные проблемы с фишинговыми сайтами, войдите в свою учетную запись Steam только в Steam или, по крайней мере, на торговых площадках, в которых вы уверены. Внимательно следите за ссылкой на веб-сайт, по которой вы собираетесь перейти. Авторизоваться в Steam всегда намного безопаснее, независимо от того, какую торговую площадку в игре вы собираетесь использовать.
    • Внимательно читайте ссылку на ваш любимый популярный сайт для трейдинга/продажи. В случае с опскинс в браузере слева от адреса сайта будет зеленая отметка OPSKINS GROUP INC. [CA]
защита API Steam
    • Смена пароля. Это отличный способ завершить текущий сеанс в Steam и заблокировать доступ мошенников к вашей учетной записи. Вы можете изменить свои учетные данные для входа в Steam двумя способами — нажав «Забыли пароль» или «Изменить мой пароль». Первый вариант предпочтительнее, так как он позволяет вам продолжать трейдится в Steam без периода приостановки обмена.
    • Удаление ключа Steam Web API . Если ваш аккаунт взломан, ключ API, очевидно, находится в базе данных мошенников. Поэтому зайдите на свою страницу пользователя в Steam, найдите свой текущий ключ API и позвольте Steam создать новый ключ. Возьмите в привычку регулярно менять свой Steam Web API ключ, чтобы убедиться, что ваша учетная запись в безопасности и не используется злоумышленниками. Здесь https://steamcommunity.com/dev/apikey вы можете отозвать и заново сгенерировать свой ключ.

Как защитить steam аккаунт
Api key steam

  • Проверяйте отправленные предложения обмена. Посетите свою страницу Steam и переходите на эту страницу https://steamcommunity.com/my/tradeoffers/sent/ каждый раз, когда у вас есть предложения обмена, которые будут подтверждены вашим мобильным телефоном или электронной почтой.

Помните, что безопасность вашей учетной записи Steam — это прежде всего ваша собственная обязанность.

Следуйте нашим инструкциям и хорошо проводите время, торгуя своими игровыми предметами безопасным и прозрачным способом.

Автор публикации

не в сети 2 дня

Admin

Как защитить свой API Steam ключ от мошенников 30
Если вы зарегистрируетесь сможете: скачивать все файлы с сайта, конкурсы, доступ к различным модулям.
flagРоссия.
Комментарии: 22Публикации: 1926Регистрация: 22-02-2018