Czym jest API Scam
“API Scam” jest to forma wyłudzenia z którą można spotkać się na platformie Steam.
Polega ona na wykorzystaniu luki w zabezpieczeniach serwisu Steam oraz niewiedzy użytkowników, w celu wyłudzenia od nich przedmiotów do różnych gier.
Sam klucz Steam API, który może być wygenerowany do każdego konta na platformie Steam, pozwala na zarządzanie ofertami wymiany w serwisie Steam, lecz nie pozwala na akceptowanie ofert przez Mobilny Token Steam Guard, który jest potrzebny do sfinalizowania procesu wymiany w serwisie Steam.
Użytkownik serwisu Steam (np. zachęcony specjalną, wręcz niemożliwą ofertą) decyduje się wejść na stronę udającą oferowanie usługi lub podszywającą się pod inną stronę i z niej skorzystać.
Jeśli taki użytkownik loguje się na podszywającej się stronie, zostaje przekierowany do fałszywego panelu logowania Steam, gdzie podaje swoje dane logowania oraz kod autoryzacyjny z mobilnej aplikacji Steam Guard.
Po podaniu wrażliwych danych na fałszywej stronie logowania, oszuści otrzymują możliwość dodania do konta użytkownika klucza API oraz pobrania go. Klucz Steam API jest dostępny na tej stronie po zalogowaniu się do serwisu Steam.
Od momentu gdy oszuści posiadają dostęp do klucza API użytkownika, automatyczny skrypt stworzony przez oszustów, “nasłuchuje” przychodzących ofert użytkownika i w momencie gdy natrafi na okazję, to pobiera informacje na temat otrzymanej przez użytkownika oferty wymiany.
Po pobraniu informacji na temat otrzymanej przez użytkownika oferty wymiany, skrypt automatycznie zmienia wygląd na połączonym z nim koncie Steam tak, aby wyglądało ono tak samo jak konto z którym użytkownik miał dokonać wymiany. Skrypt automatycznie anuluje prawdziwą ofertę wymiany którą otrzymał użytkownik, a następnie przesyła swoją ofertę wymiany z sfałszowanego konta.
Użytkownik akceptując ofertę wymiany za pomocą Mobilnego Tokenu Steam Guard, nie widzi różnicy w ofercie co powoduje utratę przez niego przedmiotów.
Ważne! W takim przypadku, w zakładce “Historia przychodzących ofert” można zauważyć dwie oferty wymiany. Prawdziwa oferta będzie posiadać status “Wymiana odrzucona (data i godzina)” a fałszywa oferta będzie posiadać status “Wymiana zaakceptowana (data i godzina)”.
Przed zaakceptowaniem oferty za pomocą Mobilnego Tokenu Steam Guard należy:
Sprawdzić dane profilu od którego otrzymana została oferta wymiany (profil, avatar)
Zweryfikować poziom profilu Steam (konto Steam należące do oszusta, może posiadać inny poziom)
Przejrzeć historię zmiany nazw profilu Steam (w tym celu, w otrzymanej ofercie wymiany kliknij na avatar lub nazwę profilu od którego otrzymałeś ofertę wymiany, a następnie kliknij strzałkę obok jego nazwy aby rozwinąć historię jego pseudonimów)
Sprawdzić datę założenia konta Steam od którego otrzymało się ofertę wymiany (data założenia konta, nie może zostać w żaden sposób zmodyfikowana)
Przejdź na stronę https://steamcommunity.com/dev/registerkey w celu usunięcia wygenerowanego klucza. Możesz to zrobić klikając przycisk “Unieważnij mój klucz Steam Web API”
Jeśli klucz jest ponownie generowany, upewnij się że twoja przeglądarka lub urządzenie z którego korzystasz, nie są w żaden sposób zainfekowane złośliwym oprogramowaniem.
Deautoryzuj wszystkie inne zalogowane urządzenia przechodząc na stronę https://store.steampowered.com/twofactor/manage
Zweryfikuj czy na koncie nie została dokonana inna zmiana, np. adresu e-mail twojego konta
Zmień hasło do konta Steam. (szczególnie zrób to w innych witrynach jeśli posiadasz takie samo hasło w kilku serwisach)
Dla pewności, po wykonaniu powyższych punktów sprawdź czy twoje konto nie posiada ponownie wygenerowanego klucza Steam API(punkt 1.). Jeśli korzystasz z wtyczek do ekwipunku Steam, sprawdź czy klucz API nie jest generowany przez używane wtyczki.
Uwaga! Przed każdą wymianą zalecane jest sprawdzenie czy twoje konto nie posiada utworzonego klucza Steam Web API. W ten sposób zwiększysz bezpieczeństwo swoich wymian!
Polega ona na wykorzystaniu luki w zabezpieczeniach serwisu Steam oraz niewiedzy użytkowników, w celu wyłudzenia od nich przedmiotów do różnych gier.
Sam klucz Steam API, który może być wygenerowany do każdego konta na platformie Steam, pozwala na zarządzanie ofertami wymiany w serwisie Steam, lecz nie pozwala na akceptowanie ofert przez Mobilny Token Steam Guard, który jest potrzebny do sfinalizowania procesu wymiany w serwisie Steam.
Jak działa API Scam
Użytkownik serwisu Steam (np. zachęcony specjalną, wręcz niemożliwą ofertą) decyduje się wejść na stronę udającą oferowanie usługi lub podszywającą się pod inną stronę i z niej skorzystać.
Jeśli taki użytkownik loguje się na podszywającej się stronie, zostaje przekierowany do fałszywego panelu logowania Steam, gdzie podaje swoje dane logowania oraz kod autoryzacyjny z mobilnej aplikacji Steam Guard.
Po podaniu wrażliwych danych na fałszywej stronie logowania, oszuści otrzymują możliwość dodania do konta użytkownika klucza API oraz pobrania go. Klucz Steam API jest dostępny na tej stronie po zalogowaniu się do serwisu Steam.
Od momentu gdy oszuści posiadają dostęp do klucza API użytkownika, automatyczny skrypt stworzony przez oszustów, “nasłuchuje” przychodzących ofert użytkownika i w momencie gdy natrafi na okazję, to pobiera informacje na temat otrzymanej przez użytkownika oferty wymiany.
Po pobraniu informacji na temat otrzymanej przez użytkownika oferty wymiany, skrypt automatycznie zmienia wygląd na połączonym z nim koncie Steam tak, aby wyglądało ono tak samo jak konto z którym użytkownik miał dokonać wymiany. Skrypt automatycznie anuluje prawdziwą ofertę wymiany którą otrzymał użytkownik, a następnie przesyła swoją ofertę wymiany z sfałszowanego konta.
Użytkownik akceptując ofertę wymiany za pomocą Mobilnego Tokenu Steam Guard, nie widzi różnicy w ofercie co powoduje utratę przez niego przedmiotów.
Ważne! W takim przypadku, w zakładce “Historia przychodzących ofert” można zauważyć dwie oferty wymiany. Prawdziwa oferta będzie posiadać status “Wymiana odrzucona (data i godzina)” a fałszywa oferta będzie posiadać status “Wymiana zaakceptowana (data i godzina)”.
Jak rozpoznać API Scam
Przed zaakceptowaniem oferty za pomocą Mobilnego Tokenu Steam Guard należy:
Sprawdzić dane profilu od którego otrzymana została oferta wymiany (profil, avatar)
Zweryfikować poziom profilu Steam (konto Steam należące do oszusta, może posiadać inny poziom)
Przejrzeć historię zmiany nazw profilu Steam (w tym celu, w otrzymanej ofercie wymiany kliknij na avatar lub nazwę profilu od którego otrzymałeś ofertę wymiany, a następnie kliknij strzałkę obok jego nazwy aby rozwinąć historię jego pseudonimów)
Sprawdzić datę założenia konta Steam od którego otrzymało się ofertę wymiany (data założenia konta, nie może zostać w żaden sposób zmodyfikowana)
Jak zabezpieczyć się przed API Scam w przyszłości
Przejdź na stronę https://steamcommunity.com/dev/registerkey w celu usunięcia wygenerowanego klucza. Możesz to zrobić klikając przycisk “Unieważnij mój klucz Steam Web API”
Jeśli klucz jest ponownie generowany, upewnij się że twoja przeglądarka lub urządzenie z którego korzystasz, nie są w żaden sposób zainfekowane złośliwym oprogramowaniem.
Deautoryzuj wszystkie inne zalogowane urządzenia przechodząc na stronę https://store.steampowered.com/twofactor/manage
Zweryfikuj czy na koncie nie została dokonana inna zmiana, np. adresu e-mail twojego konta
Zmień hasło do konta Steam. (szczególnie zrób to w innych witrynach jeśli posiadasz takie samo hasło w kilku serwisach)
Dla pewności, po wykonaniu powyższych punktów sprawdź czy twoje konto nie posiada ponownie wygenerowanego klucza Steam API(punkt 1.). Jeśli korzystasz z wtyczek do ekwipunku Steam, sprawdź czy klucz API nie jest generowany przez używane wtyczki.
Uwaga! Przed każdą wymianą zalecane jest sprawdzenie czy twoje konto nie posiada utworzonego klucza Steam Web API. W ten sposób zwiększysz bezpieczeństwo swoich wymian!
Aktualizowane na: 16/01/2024