Будьте осторожны: Как защитить свой аккаунт в CS2 от мошенников

За последнее время не раз появлялись сообщения о пропаже скинов с аккаунта, которая выглядит так: пользователь отправляет скины для продажи или обмена, но они не приходят адресату. Такое может происходить, если мошенники получили доступ к API-ключу аккаунта и подменяют трейды. Узнайте, как это работает и как защитить свой аккаунт.

• Что такое API-ключ
• Как происходит мошенничество
• Что делать, чтобы не попасться

Что такое API-ключ

API-ключ – это уникальная комбинация букв и цифр, которая позволяет контролировать учетную запись. Она используется для идентификации аккаунта. Это означает, что, если злоумышленнику удалось заполучить ваш ключ, он сможет подменять ваши трейды. В результате предметы, которые вы отправите другому человеку, окажутся у мошенника или, наоборот, вы не получите скины, которые отправили вам.

По умолчанию API-ключа у аккаунта нет. Для отправки трейдов и других обычных действий в аккаунте он не нужен – его используют разработчики, например, когда создают приложения, взаимодействующие со стим. Чтобы проверить, есть ли такой ключ у вас, перейдите по ссылке https://steamcommunity.com/dev/apikey. Если ключ не создан, будет отображаться подобная страница:

Если после ссылки вы видите ее, волноваться не о чем. К вашему аккаунту не привязан API-ключ, а значит, злоумышленники не могут использовать его, чтобы получить доступ. Если же ключ есть, советуем удалить его (кликнуть по кнопке «Отозвать API-ключ»), выйти на всех устройствах (это можно сделать через приложение Steam Guard) и сменить пароль аккаунта.

Как происходит мошенничество

Сейчас аккаунты пользователей защищены Steam Guard, поэтому мошенникам сложно напрямую получить доступ к управлению ими. Они используют схему из нескольких шагов, обманом заставляя самого владельца аккаунта выдать им доступ. Вот как это происходит:

• Пользователь заходит на непроверенный сайт, где требуется зайти через аккаунт Steam.
• Этот сайт крадет данные аккаунта и внедряет на него API-ключ.
• С помощью ключа происходит подмена трейда. Теперь, кому бы вы ни отправили скины, они попадают мошенникам.

Пользователь заходит на непроверенный сайт, где требуется зайти через аккаунт Steam.

Этот сайт крадет данные аккаунта и внедряет на него API-ключ.

С помощью ключа происходит подмена трейда. Теперь, кому бы вы ни отправили скины, они попадают мошенникам.

Из-за того, что многие пользователи уже знают об этой схеме и проявляют осторожность, мошенники придумывают и более сложные ходы. Суть их действий остается неизменной - заставить пользователя сначала залогиниться на фишинговом сайте, а затем отправить кому-нибудь обмен. Но злоумышленники используют методы социальной инженерии, то есть втираются в доверие к игрокам и убеждают их совершить нужные действия, например, так:

• Игрок, которого вы не знаете лично, предлагает вам принять участие в турнире на стороннем сайте. Он говорит, что якобы у них уже собралась команда и не хватает только одного участника. Часто перед этим он поддерживает общение с игроком в течение нескольких дней или даже недель, так что между ними устанавливается доверие.
• Авторизация на сайте, где якобы проводится турнир, приводит к тем же последствиям – появлению в аккаунте API-ключа, доступного злоумышленнику.
• Затем мошенник убеждает игрока под каким-то предлогом передать скины другому пользователю. Например, рассказывает, что на турнире нельзя выступать со слишком дорогим инвентарем, и часть предметов нужно передать знакомому. Игрок отправляет скины тому, кому он доверяет, но адресату они не приходят из-за того, что мошенник перехватил API-ключ и подменил трейд.

Игрок, которого вы не знаете лично, предлагает вам принять участие в турнире на стороннем сайте. Он говорит, что якобы у них уже собралась команда и не хватает только одного участника. Часто перед этим он поддерживает общение с игроком в течение нескольких дней или даже недель, так что между ними устанавливается доверие.

Авторизация на сайте, где якобы проводится турнир, приводит к тем же последствиям – появлению в аккаунте API-ключа, доступного злоумышленнику.

Затем мошенник убеждает игрока под каким-то предлогом передать скины другому пользователю. Например, рассказывает, что на турнире нельзя выступать со слишком дорогим инвентарем, и часть предметов нужно передать знакомому. Игрок отправляет скины тому, кому он доверяет, но адресату они не приходят из-за того, что мошенник перехватил API-ключ и подменил трейд.

При этом, если посмотреть на историю трейдов в аккаунте, там обнаружится два предложения обмена с одинаковыми предметами – одно из них для реального адресата, а другое – для мошеннического бота. Мошенники используют информацию из аккаунта пользователя и подменяют ник и аватарку бота так, чтобы его было не отличить от настоящего адресата.

Как видно, схема та же, но из-за того, что она скрыта за множеством других действий, распознать ее сложнее. Теперь мошенники готовы тратить больше времени, чтобы втереться в доверие к игроку и получить доступ к его аккаунту. Главное для них – добыть API-ключ, а после этого в ход идут разные способы убеждения.

Например, помимо описанного выше варианта, они могут написать от имени поддержки Steam и обвинить пользователя в получении ворованных предметов. Для убедительности они могут удалить из вашего аккаунта друзей и добавить в описание надпись о том, что была замечена подозрительная активность. Затем они убеждают, что для проверки аккаунта нужно отправить предметы кому-нибудь из друзей, а дальше всё происходит по той же схеме.

Что делать, чтобы не попасться

Таким образом, чтобы заполучить скины, мошенники преследуют две цели – создать на аккаунте игрока API-ключ, а затем заставить его подтвердить обмен. Чтобы замаскировать эти действия, они могут придумывать довольно запутанные истории. Поэтому, чтобы не потерять ценные скины, соблюдайте следующие правила:

• Читайте отзывы о сайте на сторонних ресурсах, прежде чем логиниться через Steam. Не участвуйте в сомнительных турнирах.
• Будьте осторожны, когда общаетесь с пользователями, которых не знаете лично. Осторожно относитесь к ссылкам, которые они вам присылают. Поищите информацию о них, прежде чем переходить по ним или совершать какие-то действия на этих сайтах.
• Периодически проверяйте, не появился ли у вашего аккаунта API-ключ, чтобы вовремя заметить подозрительную активность.
• Будьте осторожны, если кто-то пишет вам от имени службы поддержки Steam. Если такие сообщения приходят через обычный чат, это мошенники. Настоящие сотрудники службы поддержки не станут добавляться к вам в друзья и писать в чат.
• Переходя по ссылкам, проверяйте, не попали ли вы на фишинговый сайт. Часто ссылка в адресной строке может отличаться от подлинной одной-двумя буквами.
• Когда отправляете кому-то предметы, внимательно проверяйте, кому отправляете трейд.
• Используйте только проверенные сторонние сайты для продажи или обмена скинов.

Читайте отзывы о сайте на сторонних ресурсах, прежде чем логиниться через Steam. Не участвуйте в сомнительных турнирах.

Будьте осторожны, когда общаетесь с пользователями, которых не знаете лично. Осторожно относитесь к ссылкам, которые они вам присылают. Поищите информацию о них, прежде чем переходить по ним или совершать какие-то действия на этих сайтах.

Периодически проверяйте, не появился ли у вашего аккаунта API-ключ, чтобы вовремя заметить подозрительную активность.

Будьте осторожны, если кто-то пишет вам от имени службы поддержки Steam. Если такие сообщения приходят через обычный чат, это мошенники. Настоящие сотрудники службы поддержки не станут добавляться к вам в друзья и писать в чат.

Переходя по ссылкам, проверяйте, не попали ли вы на фишинговый сайт. Часто ссылка в адресной строке может отличаться от подлинной одной-двумя буквами.

Когда отправляете кому-то предметы, внимательно проверяйте, кому отправляете трейд.

Используйте только проверенные сторонние сайты для продажи или обмена скинов.

Следуйте этим правилам, и ваш аккаунт будет в безопасности.