Was ist API-Betrug?
"API-Betrug" ist eine Form des Betrugs, die auf der Steam-Plattform vorkommen kann.
Dabei wird eine Schwachstelle in der Sicherheit von Steam und die Unwissenheit der Nutzer/innen ausgenutzt, um sie um Gegenstände für eine Vielzahl von Spielen zu betrügen.
Der Steam-API-Schlüssel selbst, der für jedes Konto auf der Steam-Plattform generiert werden kann, ermöglicht die Verwaltung von Steam-Tauschangeboten, aber nicht die Annahme von Angeboten durch den Steam Guard Mobile Token, der für den Abschluss der Steam-Tauschtransaktion erforderlich ist.
Ein Steam-Nutzer entscheidet sich (z.B. angelockt durch ein attraktives, sogar unmögliches Angebot), eine Seite zu besuchen und zu nutzen, die vorgibt, einen Dienst anzubieten oder sich als eine andere Seite ausgibt.
Der Nutzer wird zu einer gefälschten Steam-Anmeldeseite weitergeleitet, wo er seine Anmeldedaten und einen Autorisierungscode aus der Steam Guard Mobile App eingibt.
Nach der Angabe sensibler Daten auf der gefälschten Anmeldeseite haben die Betrüger die Möglichkeit, dem Konto des Nutzers einen API-Schlüssel hinzuzufügen und diesen an sich zu nehmen. Auf den Steam-API-Schlüssel kann von dieser Seite aus zugegriffen werden, sobald sich der Nutzer bei Steam angemeldet hat.
Da die Betrüger Zugang zum API-Schlüssel des Nutzers haben, "hört" ein automatisiertes Skript, das von den Betrügern erstellt wurde, die eingehenden Angebote des Nutzers ab und wenn es auf eine Gelegenheit stößt, holt es Informationen über das Tauschangebot, das der Nutzer erhalten hat.
Nachdem das Skript die Informationen über das Tauschangebot, das der Nutzer erhalten hat, abgerufen hat, ändert es automatisch das Aussehen des verknüpften Steam-Kontos, sodass es genauso aussieht wie das Konto, mit dem der Nutzer tauschen sollte. Das Skript lehnt das echte Tauschangebot, das der Nutzer erhalten hat, automatisch ab und sendet dann sein Tauschangebot von dem gefälschten Konto.
Wenn der Nutzer das Tauschangebot mit dem Steam Guard Mobile Token annimmt, sieht er die Differenz im Angebot nicht, wodurch er die Gegenstände verliert.
Wichtig! In diesem Fall kannst du zwei Tauschangebote auf der Registerkarte "Historie der eingehenden Angebote" sehen. Das echte Angebot hat den Status "Tausch abgelehnt (Datum und Uhrzeit)" und das gefälschte Angebot hat den Status "Tausch angenommen (Datum und Uhrzeit)".
Bevor du ein Angebot mit dem Steam Guard Mobile Token annimmst, solltest du:
Überprüfe die Details des Profils, von dem du das Tauschangebot erhalten hast (Profil, Avatar)
Überprüfe die Stufe des Steam-Profils (das Steam-Konto, das den Betrügern gehört, kann eine andere Stufe haben)
Überprüfe den Namensänderungsverlauf des Steam-Profils (klicke dazu in dem Tauschangebot, das du erhalten hast, auf den Avatar oder den Namen des Profils, von dem du das Tauschangebot erhalten hast, und klicke dann auf den Pfeil neben dem Namen, um den Nicknamenverlauf zu erweitern)
Überprüfe das Erstellungsdatum des Steam-Kontos, von dem du das Tauschangebot erhalten hast (das Erstellungsdatum des Kontos kann in keiner Weise geändert werden).
Gehe auf https://steamcommunity.com/dev/registerkey, um den generierten Schlüssel zu löschen. Du kannst dies tun, indem du auf die Schaltfläche "Meinen Steam Web API-Schlüssel widerrufen" klickst.
Wenn der Schlüssel neu generiert wird, stelle sicher, dass dein Browser oder das Gerät, das du verwendest, nicht mit Malware infiziert ist.
Entferne die Autorisierung aller anderen eingeloggten Geräte, indem du zu https://store.steampowered.com/twofactor/manage gehst.
Prüfe, ob keine anderen Änderungen an deinem Konto vorgenommen wurden, z. B. an deiner E-Mail-Adresse.
Ändere das Passwort deines Steam-Kontos. (Mach das vor allem auf anderen Seiten, wenn du das gleiche Passwort auf mehreren Seiten hast).
Um sicherzugehen, überprüfe nach den oben genannten Punkten, dass dein Konto keinen neu generierten Steam-API-Schlüssel hat (Punkt 1.). Wenn du Steam-Inventar-Plugins verwendest, überprüfe, dass der API-Schlüssel nicht von den Plugins generiert wird, die du verwendest.
Achtung! Es wird empfohlen, vor jedem Austausch zu überprüfen, ob für dein Konto ein Steam Web API-Schlüssel erstellt wurde. Dadurch erhöhst du die Sicherheit deiner Tauschaktionen!
Dabei wird eine Schwachstelle in der Sicherheit von Steam und die Unwissenheit der Nutzer/innen ausgenutzt, um sie um Gegenstände für eine Vielzahl von Spielen zu betrügen.
Der Steam-API-Schlüssel selbst, der für jedes Konto auf der Steam-Plattform generiert werden kann, ermöglicht die Verwaltung von Steam-Tauschangeboten, aber nicht die Annahme von Angeboten durch den Steam Guard Mobile Token, der für den Abschluss der Steam-Tauschtransaktion erforderlich ist.
Wie API-Betrug funktioniert
Ein Steam-Nutzer entscheidet sich (z.B. angelockt durch ein attraktives, sogar unmögliches Angebot), eine Seite zu besuchen und zu nutzen, die vorgibt, einen Dienst anzubieten oder sich als eine andere Seite ausgibt.
Der Nutzer wird zu einer gefälschten Steam-Anmeldeseite weitergeleitet, wo er seine Anmeldedaten und einen Autorisierungscode aus der Steam Guard Mobile App eingibt.
Nach der Angabe sensibler Daten auf der gefälschten Anmeldeseite haben die Betrüger die Möglichkeit, dem Konto des Nutzers einen API-Schlüssel hinzuzufügen und diesen an sich zu nehmen. Auf den Steam-API-Schlüssel kann von dieser Seite aus zugegriffen werden, sobald sich der Nutzer bei Steam angemeldet hat.
Da die Betrüger Zugang zum API-Schlüssel des Nutzers haben, "hört" ein automatisiertes Skript, das von den Betrügern erstellt wurde, die eingehenden Angebote des Nutzers ab und wenn es auf eine Gelegenheit stößt, holt es Informationen über das Tauschangebot, das der Nutzer erhalten hat.
Nachdem das Skript die Informationen über das Tauschangebot, das der Nutzer erhalten hat, abgerufen hat, ändert es automatisch das Aussehen des verknüpften Steam-Kontos, sodass es genauso aussieht wie das Konto, mit dem der Nutzer tauschen sollte. Das Skript lehnt das echte Tauschangebot, das der Nutzer erhalten hat, automatisch ab und sendet dann sein Tauschangebot von dem gefälschten Konto.
Wenn der Nutzer das Tauschangebot mit dem Steam Guard Mobile Token annimmt, sieht er die Differenz im Angebot nicht, wodurch er die Gegenstände verliert.
Wichtig! In diesem Fall kannst du zwei Tauschangebote auf der Registerkarte "Historie der eingehenden Angebote" sehen. Das echte Angebot hat den Status "Tausch abgelehnt (Datum und Uhrzeit)" und das gefälschte Angebot hat den Status "Tausch angenommen (Datum und Uhrzeit)".
Wie man API-Betrug erkennt
Bevor du ein Angebot mit dem Steam Guard Mobile Token annimmst, solltest du:
Überprüfe die Details des Profils, von dem du das Tauschangebot erhalten hast (Profil, Avatar)
Überprüfe die Stufe des Steam-Profils (das Steam-Konto, das den Betrügern gehört, kann eine andere Stufe haben)
Überprüfe den Namensänderungsverlauf des Steam-Profils (klicke dazu in dem Tauschangebot, das du erhalten hast, auf den Avatar oder den Namen des Profils, von dem du das Tauschangebot erhalten hast, und klicke dann auf den Pfeil neben dem Namen, um den Nicknamenverlauf zu erweitern)
Überprüfe das Erstellungsdatum des Steam-Kontos, von dem du das Tauschangebot erhalten hast (das Erstellungsdatum des Kontos kann in keiner Weise geändert werden).
Wie du dich in Zukunft vor API-Betrug schützen kannst
Gehe auf https://steamcommunity.com/dev/registerkey, um den generierten Schlüssel zu löschen. Du kannst dies tun, indem du auf die Schaltfläche "Meinen Steam Web API-Schlüssel widerrufen" klickst.
Wenn der Schlüssel neu generiert wird, stelle sicher, dass dein Browser oder das Gerät, das du verwendest, nicht mit Malware infiziert ist.
Entferne die Autorisierung aller anderen eingeloggten Geräte, indem du zu https://store.steampowered.com/twofactor/manage gehst.
Prüfe, ob keine anderen Änderungen an deinem Konto vorgenommen wurden, z. B. an deiner E-Mail-Adresse.
Ändere das Passwort deines Steam-Kontos. (Mach das vor allem auf anderen Seiten, wenn du das gleiche Passwort auf mehreren Seiten hast).
Um sicherzugehen, überprüfe nach den oben genannten Punkten, dass dein Konto keinen neu generierten Steam-API-Schlüssel hat (Punkt 1.). Wenn du Steam-Inventar-Plugins verwendest, überprüfe, dass der API-Schlüssel nicht von den Plugins generiert wird, die du verwendest.
Achtung! Es wird empfohlen, vor jedem Austausch zu überprüfen, ob für dein Konto ein Steam Web API-Schlüssel erstellt wurde. Dadurch erhöhst du die Sicherheit deiner Tauschaktionen!
Aktualisiert am: 16/05/2024