O que é o esquema API
O "esquema API" é uma forma de esquema que pode ser encontrada na plataforma Steam.
Envolve a exploração de uma vulnerabilidade na segurança da Steam e o desconhecimento dos utilizadores a fim de os enganar em itens para uma variedade de jogos.
A própria chave Steam API, que pode ser criada para qualquer conta na plataforma Steam, permite a gestão de ofertas de troca Steam, mas não permite que as ofertas sejam aceites pelo Token Móvel Steam Guard, que é necessário para finalizar a transacção de troca Steam.
Um utilizador do Steam (por exemplo, atraído por uma oferta atractiva, mesmo impossível) decide visitar e utilizar um site que finge oferecer um serviço ou faz-se passar por outro site.
O utilizador é redireccionado para um painel de login da Steam falso, onde fornece os seus dados de login e um código de autorização da aplicação móvel da Steam Guard.
Depois de fornecer dados sensíveis na página de login falso, os golpistas têm a oportunidade de adicionar uma chave API à conta do utilizador e aceitá-la. A chave API da Steam pode ser acedida a partir desta página, uma vez que o utilizador tenha iniciado sessão na Steam.
Uma vez que os golpistas têm acesso à chave API do utilizador, um script automatizado criado pelos golpistas irá "ouvir" as ofertas recebidas do utilizador e quando encontrar uma oportunidade, irá recolher informações sobre a oferta de troca que o utilizador recebeu.
Depois de ir buscar a informação sobre a oferta de troca que o utilizador recebeu, o script muda automaticamente a aparência na conta Steam ligada, de modo a parecer a mesma que a conta com a qual o utilizador deveria ter trocado. O script rejeita automaticamente a oferta de troca real que o utilizador recebeu e depois envia a sua oferta de troca a partir da conta falsa.
Quando o utilizador aceita a oferta de troca utilizando o Token Móvel Steam Guard, não vê a diferença na oferta que o leva a perder os itens.
Importante! Neste caso, pode reparar em duas ofertas de troca no separador "Histórico de ofertas recebidas". A oferta real terá o estatuto "Troca rejeitada (data e hora)" e a oferta falsa terá o estatuto "Troca aceite (data e hora)".
Antes de aceitar uma oferta utilizando o Token Móvel da Steam Guard, deverá:
Verificar os detalhes do perfil a partir do qual a oferta de troca foi recebida (perfil, avatar)
Verificar o nível do perfil Steam (a conta Steam que pertence aos golpistas pode ter um nível diferente)
Rever o histórico de mudança de nome do perfil Steam (para o fazer, na oferta de troca que recebeu, clique no avatar ou no nome do perfil do qual recebeu a oferta de troca, depois clique na seta ao lado do seu nome para expandir o seu histórico de nicknames)
Verificar a data de criação da conta Steam a partir da qual recebeu a oferta de troca (a data de criação da conta, não pode ser modificada de forma alguma)
Vá para https://steamcommunity.com/dev/registerkey para apagar a chave criada. Pode fazer isto clicando no botão " Reverter a minha chave Steam Web API".
Se a chave for criada de novo, certifique-se de que o seu browser ou o dispositivo que está a utilizar não está infectado com malware de forma alguma.
Desautorize todos os outros dispositivos registados, indo a https://store.steampowered.com/twofactor/manage
Verifique que não foram feitas outras alterações à sua conta, tais como o endereço de e-mail da sua conta
Alterar a senha da sua conta Steam. (Especialmente fazer isto noutros sítios se tiver a mesma palavra-passe em vários sítios).
Só para ter a certeza, depois de fazer os pontos acima, verifique se a sua conta não tem uma chave de Steam API recriada (ponto 1.). Se estiver a utilizar plugins de inventário Steam, verifique se a chave API não é gerada pelos plugins que está a utilizar.
Atenção! Antes de cada troca, é recomendado verificar se a sua conta não tem uma chave Steam Web API criada. Ao fazer isto, aumentará a segurança das suas trocas!
Envolve a exploração de uma vulnerabilidade na segurança da Steam e o desconhecimento dos utilizadores a fim de os enganar em itens para uma variedade de jogos.
A própria chave Steam API, que pode ser criada para qualquer conta na plataforma Steam, permite a gestão de ofertas de troca Steam, mas não permite que as ofertas sejam aceites pelo Token Móvel Steam Guard, que é necessário para finalizar a transacção de troca Steam.
Como funciona o esquema API
Um utilizador do Steam (por exemplo, atraído por uma oferta atractiva, mesmo impossível) decide visitar e utilizar um site que finge oferecer um serviço ou faz-se passar por outro site.
O utilizador é redireccionado para um painel de login da Steam falso, onde fornece os seus dados de login e um código de autorização da aplicação móvel da Steam Guard.
Depois de fornecer dados sensíveis na página de login falso, os golpistas têm a oportunidade de adicionar uma chave API à conta do utilizador e aceitá-la. A chave API da Steam pode ser acedida a partir desta página, uma vez que o utilizador tenha iniciado sessão na Steam.
Uma vez que os golpistas têm acesso à chave API do utilizador, um script automatizado criado pelos golpistas irá "ouvir" as ofertas recebidas do utilizador e quando encontrar uma oportunidade, irá recolher informações sobre a oferta de troca que o utilizador recebeu.
Depois de ir buscar a informação sobre a oferta de troca que o utilizador recebeu, o script muda automaticamente a aparência na conta Steam ligada, de modo a parecer a mesma que a conta com a qual o utilizador deveria ter trocado. O script rejeita automaticamente a oferta de troca real que o utilizador recebeu e depois envia a sua oferta de troca a partir da conta falsa.
Quando o utilizador aceita a oferta de troca utilizando o Token Móvel Steam Guard, não vê a diferença na oferta que o leva a perder os itens.
Importante! Neste caso, pode reparar em duas ofertas de troca no separador "Histórico de ofertas recebidas". A oferta real terá o estatuto "Troca rejeitada (data e hora)" e a oferta falsa terá o estatuto "Troca aceite (data e hora)".
Como reconhecer o esquema API
Antes de aceitar uma oferta utilizando o Token Móvel da Steam Guard, deverá:
Verificar os detalhes do perfil a partir do qual a oferta de troca foi recebida (perfil, avatar)
Verificar o nível do perfil Steam (a conta Steam que pertence aos golpistas pode ter um nível diferente)
Rever o histórico de mudança de nome do perfil Steam (para o fazer, na oferta de troca que recebeu, clique no avatar ou no nome do perfil do qual recebeu a oferta de troca, depois clique na seta ao lado do seu nome para expandir o seu histórico de nicknames)
Verificar a data de criação da conta Steam a partir da qual recebeu a oferta de troca (a data de criação da conta, não pode ser modificada de forma alguma)
Como se proteger contra o esquema API no futuro
Vá para https://steamcommunity.com/dev/registerkey para apagar a chave criada. Pode fazer isto clicando no botão " Reverter a minha chave Steam Web API".
Se a chave for criada de novo, certifique-se de que o seu browser ou o dispositivo que está a utilizar não está infectado com malware de forma alguma.
Desautorize todos os outros dispositivos registados, indo a https://store.steampowered.com/twofactor/manage
Verifique que não foram feitas outras alterações à sua conta, tais como o endereço de e-mail da sua conta
Alterar a senha da sua conta Steam. (Especialmente fazer isto noutros sítios se tiver a mesma palavra-passe em vários sítios).
Só para ter a certeza, depois de fazer os pontos acima, verifique se a sua conta não tem uma chave de Steam API recriada (ponto 1.). Se estiver a utilizar plugins de inventário Steam, verifique se a chave API não é gerada pelos plugins que está a utilizar.
Atenção! Antes de cada troca, é recomendado verificar se a sua conta não tem uma chave Steam Web API criada. Ao fazer isto, aumentará a segurança das suas trocas!
Actualizado em: 16/01/2024