O que é um golpe de API
Um ‘’Golpe API’’ é um tipo de golpe encontrado na plataforma Steam. Envolve se aproveitar de uma vulnerabilidade na segurança da Steam e da inconsciência dos usuários para tirar deles items em vários jogos.
A chave API da Steam, que pode ser gerada para qualquer conta na plataforma Steam, permite o gerenciamento de ofertas de troca na Steam, mas não permite que ofertas sejam aceitas pelo Token da Steam Guard, que é necessário para finalizar a transação de troca na Steam.
Um usuário da Steam (tentado por uma boa ou até irrecusável oferta) decide visistar e usar um site que finge oferecer um serviço ou se passa por outro site.
O usuário é redirecionado para um painel de login falso da Steam, onde coloca seus detalhes de login e um código de autorização do aplicativo da Steam Guard.
Depois de fornecer dados sensíveis na página falsa de login, os golpistas têm a oportunidade de adicionar uma chava API na conta do usuário e tomá-la. A chave API da Steam pode ser acessada dessa página uma vez que o usuário tenha entrado na Steam.
Como os golpistas tem acesso à chave API do usuário, um script automático criado pelos golpistas irá ‘’ficar de olho’’ nas ofertas que o usuário recebe e quando tiver a oportunidade, adquirirá informações sobre a oferta de troca que o usuário recebeu.
Depois de coletar a informação da oferta de troca que o usuário recebeu, o script automaticamente muda a aparência na conta Steam conectada para que fique igual à contacom a qual o usuário faria a troca. O script automaticamente recusa a oferta de troca real que o usuário recebeu e envia sua oferta de troca pela conta falsa.
Quando o usuário aceita a oferta de troca usando o Token da Steam Guard, ele não vê diferença na oferta, o que faz com que perca os itens.
Importante! Neste caso, você verá duas ofertas de troca na aba ‘’Histórico de ofertas’’. A oferta real terá o status ‘’Troca rejeitada (data e horário)’’ e a oferta falsa terá o status ‘’Troca aceita (data e horário)’’.
Antes de aceitar uma oferta usando o Token da Steam Guard, você deve:
Verificar os detalhes do perfil de qual a oferta de troca foi recebida (perfil, avatar)
Verificar o nível do perfil Steam (A conta dos golpistas pode ter um nível diferente)
Analisar o histórico de troca de nome no perfil Steam (para fazer isso, clique no avatar ou nome do perfil que enviou a oferta, então clique na seta ao lado do nome para expandir o histórico de apelidos)
Confira a data de criação da conta Steam que lhe enviou a oferta de troca (a data de criação da conta não pode ser alterada)
Vá para https://steamcommunity.com/dev/registerkey para deletar a chave gerada. Basta clicar em ‘’Recuperar minha chave API da Steam’’
Se a chave for gerada novamente, certifique-se que seu navegador ou dispositivo que está usando não está infectado com malwares.
Desautorize todos os outros serviços logados indo até https://store.steampowered.com/twofactor/manage
Verifique que não foram feitas outras mudanças na sua conta, tais como o e-mail vinculado â conta.
Mude sua senha da Steam. (Faça isso também em outros sites caso use a mesma senha)
Só para ter certeza, depois de fazer todos os passos acima, verifique se sua conta não tem um API Steam gerado (passo 1). Se estiver usando plugins de inventário da Steam, certifique-se que a chave API não seja gerada pelos plugins.
Atenção! Antes de cada troca, é recomendado certificar-se que sua conta não tenha uma chave API da Steam Web criada. Ao fazê-lo, aumentará a segurança de suas trocas!
A chave API da Steam, que pode ser gerada para qualquer conta na plataforma Steam, permite o gerenciamento de ofertas de troca na Steam, mas não permite que ofertas sejam aceitas pelo Token da Steam Guard, que é necessário para finalizar a transação de troca na Steam.
Como funciona o golpe API
Um usuário da Steam (tentado por uma boa ou até irrecusável oferta) decide visistar e usar um site que finge oferecer um serviço ou se passa por outro site.
O usuário é redirecionado para um painel de login falso da Steam, onde coloca seus detalhes de login e um código de autorização do aplicativo da Steam Guard.
Depois de fornecer dados sensíveis na página falsa de login, os golpistas têm a oportunidade de adicionar uma chava API na conta do usuário e tomá-la. A chave API da Steam pode ser acessada dessa página uma vez que o usuário tenha entrado na Steam.
Como os golpistas tem acesso à chave API do usuário, um script automático criado pelos golpistas irá ‘’ficar de olho’’ nas ofertas que o usuário recebe e quando tiver a oportunidade, adquirirá informações sobre a oferta de troca que o usuário recebeu.
Depois de coletar a informação da oferta de troca que o usuário recebeu, o script automaticamente muda a aparência na conta Steam conectada para que fique igual à contacom a qual o usuário faria a troca. O script automaticamente recusa a oferta de troca real que o usuário recebeu e envia sua oferta de troca pela conta falsa.
Quando o usuário aceita a oferta de troca usando o Token da Steam Guard, ele não vê diferença na oferta, o que faz com que perca os itens.
Importante! Neste caso, você verá duas ofertas de troca na aba ‘’Histórico de ofertas’’. A oferta real terá o status ‘’Troca rejeitada (data e horário)’’ e a oferta falsa terá o status ‘’Troca aceita (data e horário)’’.
Como reconhecer um golpe API
Antes de aceitar uma oferta usando o Token da Steam Guard, você deve:
Verificar os detalhes do perfil de qual a oferta de troca foi recebida (perfil, avatar)
Verificar o nível do perfil Steam (A conta dos golpistas pode ter um nível diferente)
Analisar o histórico de troca de nome no perfil Steam (para fazer isso, clique no avatar ou nome do perfil que enviou a oferta, então clique na seta ao lado do nome para expandir o histórico de apelidos)
Confira a data de criação da conta Steam que lhe enviou a oferta de troca (a data de criação da conta não pode ser alterada)
Como se proteger contra golpes API no futuro
Vá para https://steamcommunity.com/dev/registerkey para deletar a chave gerada. Basta clicar em ‘’Recuperar minha chave API da Steam’’
Se a chave for gerada novamente, certifique-se que seu navegador ou dispositivo que está usando não está infectado com malwares.
Desautorize todos os outros serviços logados indo até https://store.steampowered.com/twofactor/manage
Verifique que não foram feitas outras mudanças na sua conta, tais como o e-mail vinculado â conta.
Mude sua senha da Steam. (Faça isso também em outros sites caso use a mesma senha)
Só para ter certeza, depois de fazer todos os passos acima, verifique se sua conta não tem um API Steam gerado (passo 1). Se estiver usando plugins de inventário da Steam, certifique-se que a chave API não seja gerada pelos plugins.
Atenção! Antes de cada troca, é recomendado certificar-se que sua conta não tenha uma chave API da Steam Web criada. Ao fazê-lo, aumentará a segurança de suas trocas!
Atualizado em: 16/01/2024