Co je API podvod
„API Podvod“ je forma podvodu, se kterou se lze setkat na platformě Steam. Zahrnuje to využití zranitelnosti v zabezpečení Steamu a nevědomosti uživatelů s cílem oklamat je o položky v různých hrách.
Samotný klíč Steam API, který lze vygenerovat pro libovolný účet na platformě Steam, umožňuje správu nabídek výměny Steam, ale neumožňuje akceptování nabídek mobilním tokenem Steam Guard, který je potřebný k dokončení transakce výměny Steam.
Uživatel Steamu (např. zlákaný atraktivní, dokonce nemožnou nabídkou) se rozhodne navštívit a použít stránku, která předstírá, že nabízí službu nebo se vydává za jinou stránku.
Uživatel je přesměrován na falešný přihlašovací panel Steam, kde poskytne své přihlašovací údaje a autorizační kód z mobilní aplikace Steam Guard.
Po poskytnutí citlivých údajů na falešné přihlašovací stránce dostanou podvodníci možnost přidat API klíč do uživatelského účtu a vzít si jej. Po přihlášení uživatele do služby Steam lze z této stránky získat přístup ke klíči rozhraní Steam API.
Jelikož podvodníci mají přístup ke klíči API uživatele, automatizovaný skript vytvořený podvodníky bude „prohlížet“ příchozí nabídky uživatele a když narazí na příležitost, získá informace o nabídce výměny, kterou uživatel obdržel.
Po načtení informací o nabídce výměny, kterou uživatel obdržel, skript automaticky změní vzhled na propojeném účtu Steam tak, aby vypadal stejně jako účet, se kterým si měl uživatel vyměnit položky. Skript automaticky odmítne skutečnou nabídku výměny, kterou uživatel obdržel, a poté odešle nabídku k výměně z falešného účtu.
Když uživatel přijme nabídku výměny pomocí mobilního tokenu Steam Guard, nevidí rozdíl v nabídce, který způsobuje ztrátu položek.
Pozor! Důležité! V tomto případě si v záložce „Historie příchozích nabídek“ můžete všimnout dvou nabídek výměny. Skutečná nabídka bude mít status „Výměna odmítnuta (datum a čas)“ a falešná nabídka bude mít status „Výměna přijata (datum a čas)“.
Před přijetím nabídky pomocí mobilního tokenu Steam Guard byste měli:
Zkontrolujte podrobnosti profilu, ze kterého byla přijata nabídka výměny (profil, avatar)
Ověřte úroveň profilu Steam (účet Steam, který patří podvodníkům, může mít jinou úroveň)
Prohlédněte si historii změn jména profilu Steam.
Zkontrolujte datum vytvoření účtu Steam, ze kterého jste obdrželi nabídku na výměnu (datum vytvoření účtu nelze nijak změnit)
Přejděte na https://steamcommunity.com/dev/registerkey a odstraňte vygenerovaný klíč. Můžete tak učinit kliknutím na tlačítko „Odvolat můj klíč Steam Web API“.
Pokud je klíč vygenerován znovu, ujistěte se, že váš prohlížeč nebo zařízení, které používáte, není žádným způsobem infikováno škodlivým softwarem.
Zrušte autorizaci všech ostatních přihlášených zařízení na https://store.steampowered.com/twofactor/manage
Ověřte, že ve vašem účtu nebyly provedeny žádné další změny, například e-mailová adresa vašeho účtu
Změňte heslo svého účtu Steam. (Udělejte to zejména na jiných stránkách, pokud máte stejné heslo na více stránkách).
Pro jistotu po provedení výše uvedených bodů zkontrolujte, zda váš účet nemá vygenerovaný klíč Steam API (bod 1.). Pokud používáte doplňky inventáře Steam, zkontrolujte, zda klíč API negenerují doplňky, které používáte.
Pozor! Před každou výměnou se doporučuje zkontrolovat, zda váš účet nemá vytvořen klíč Steam Web API. Zvýšíte tím bezpečnost svých výměn!
Samotný klíč Steam API, který lze vygenerovat pro libovolný účet na platformě Steam, umožňuje správu nabídek výměny Steam, ale neumožňuje akceptování nabídek mobilním tokenem Steam Guard, který je potřebný k dokončení transakce výměny Steam.
Jak funguje API podvod
Uživatel Steamu (např. zlákaný atraktivní, dokonce nemožnou nabídkou) se rozhodne navštívit a použít stránku, která předstírá, že nabízí službu nebo se vydává za jinou stránku.
Uživatel je přesměrován na falešný přihlašovací panel Steam, kde poskytne své přihlašovací údaje a autorizační kód z mobilní aplikace Steam Guard.
Po poskytnutí citlivých údajů na falešné přihlašovací stránce dostanou podvodníci možnost přidat API klíč do uživatelského účtu a vzít si jej. Po přihlášení uživatele do služby Steam lze z této stránky získat přístup ke klíči rozhraní Steam API.
Jelikož podvodníci mají přístup ke klíči API uživatele, automatizovaný skript vytvořený podvodníky bude „prohlížet“ příchozí nabídky uživatele a když narazí na příležitost, získá informace o nabídce výměny, kterou uživatel obdržel.
Po načtení informací o nabídce výměny, kterou uživatel obdržel, skript automaticky změní vzhled na propojeném účtu Steam tak, aby vypadal stejně jako účet, se kterým si měl uživatel vyměnit položky. Skript automaticky odmítne skutečnou nabídku výměny, kterou uživatel obdržel, a poté odešle nabídku k výměně z falešného účtu.
Když uživatel přijme nabídku výměny pomocí mobilního tokenu Steam Guard, nevidí rozdíl v nabídce, který způsobuje ztrátu položek.
Pozor! Důležité! V tomto případě si v záložce „Historie příchozích nabídek“ můžete všimnout dvou nabídek výměny. Skutečná nabídka bude mít status „Výměna odmítnuta (datum a čas)“ a falešná nabídka bude mít status „Výměna přijata (datum a čas)“.
Jak rozpoznat API podvod
Před přijetím nabídky pomocí mobilního tokenu Steam Guard byste měli:
Zkontrolujte podrobnosti profilu, ze kterého byla přijata nabídka výměny (profil, avatar)
Ověřte úroveň profilu Steam (účet Steam, který patří podvodníkům, může mít jinou úroveň)
Prohlédněte si historii změn jména profilu Steam.
Zkontrolujte datum vytvoření účtu Steam, ze kterého jste obdrželi nabídku na výměnu (datum vytvoření účtu nelze nijak změnit)
Jak se v budoucnu chránit před podvodem API
Přejděte na https://steamcommunity.com/dev/registerkey a odstraňte vygenerovaný klíč. Můžete tak učinit kliknutím na tlačítko „Odvolat můj klíč Steam Web API“.
Pokud je klíč vygenerován znovu, ujistěte se, že váš prohlížeč nebo zařízení, které používáte, není žádným způsobem infikováno škodlivým softwarem.
Zrušte autorizaci všech ostatních přihlášených zařízení na https://store.steampowered.com/twofactor/manage
Ověřte, že ve vašem účtu nebyly provedeny žádné další změny, například e-mailová adresa vašeho účtu
Změňte heslo svého účtu Steam. (Udělejte to zejména na jiných stránkách, pokud máte stejné heslo na více stránkách).
Pro jistotu po provedení výše uvedených bodů zkontrolujte, zda váš účet nemá vygenerovaný klíč Steam API (bod 1.). Pokud používáte doplňky inventáře Steam, zkontrolujte, zda klíč API negenerují doplňky, které používáte.
Pozor! Před každou výměnou se doporučuje zkontrolovat, zda váš účet nemá vytvořen klíč Steam Web API. Zvýšíte tím bezpečnost svých výměn!
Aktualizováno dne: 16/01/2024