Jak předejít Steam API key scamu a jak funguje?

sobota 29. ledna 2022

V poslední době se nám rozmohl jeden nešvar. Mohli jste zaznamenat, že najednou vám vaši přátelé na Steamu začali posílat podvodné odkazy a zvát vás do soutěží apod.

Když vám přijde odkaz, bývá většinou s nějakou záminkou jako je hlasování v soutěži nebo turnaj. Tento odkaz za žádnou cenu neotvírejte! Jedná se o podvodnou kopii Steam stránky, taktéž nazývaná jako phishing, která je v dnešní době může být 1 ku 1 identická té oficiální.

Co je cílem útočníků?

Jak už to tak bývá, tak útočníci se z vašeho účtu snaží získat peníze.

Pokud budete mít balance ve vaší Steam peněžence, pravděpodobně si útočník z druhého účtu listne na Steam Market bezcenný předmět za přemrštěnou sumu a ten z vašeho účtu koupí. Co tím docílí? Díky tomuhle si převede peníze z vaší peněženky na jeho účet. V momentální době Steam nevyžaduje žádné potvrzení při nákupu na Steam Marketu.

Dalším cílem je získat in-game předměty (CS:GO skiny). Tuto metodu si popíšeme níže v článku.

Jak poznat, že se jedná o fake login stránku?

Identická kopie stránky aka. "phishing"

Je spousta způsobů jak poznat, že se jedná o fake stránku, my vám tady vypíšeme ty nejdůležitější parametry, na které si dávat pozor.

Fake login stránky po vás vyžadují autentizační údaje (uživatelské jméno a heslo), aby se vám dostali na vás účet. To oficiální stránka od Steamu po vás nevyžaduje v případě, že jste přihlášeni (viz. screenshot). Pokud víte, že jste přihlášeni na oficiálním Steamu a nevidíte předvyplněné údaje u Steam loginu, tak si můžete být jisti, že se jedná o podvod a na takovou stránku se nepřihlašujte! Zde platí jedno zásadní pravidlo, a to vždy se přihlašovat přes oficiální stránky Steamu, následně jen potvrzovat předvyplněné údaje.

Před tím než se přihlásíte, tak si vždy zkontrolujte ve vašem prohlížeči adresu na které se nacházíte. Nejpoužívanější oficiální adresy Steamu jsou steamcommunity.com a steampowered.com. Podvodníci se vás budou snažit napálit a udělat co nejvíce totožnou stránku, proto mohou změnit některá písmena v doméně, kterou vlastní. Tohoto překlepu si na první pohled nemusíte všimnout, a tak potřeba si prvně tohle zkontrolovat před tím než se přihlásíte. Jako příklad může být steamcomnity.com apod. Taktéž vám může pro kontrolu pomoci ikona zámku zabezpečení. Nespoléhejte se jen na zámek 🔒 Podvodné stránky si tohle zabezpečení mohou také sehnat.

takhle vypadají předvyplněné údaje

Falešné pop-up okno

Oblíbenou praktikou je i je falešné pop-up okno, které je součástí webu. Co to je? Je to vyskakovací okno, které se tváři jako okno prohlížeče, ale ve skutečnosti se jedná jen o součást samotného webu. Okno je nakódováno v rámci webu a tak podvodníci si do tohohle okna mohou dát co chtějí. Ve finále se tohle okno může tvářit jako oficiální stránka Steamu. Je tu jedna věc, kterou podvodníci nemohou napodobit. Tohle okno nelze "přetáhnout" ze stránky ven, jelikož je součástí stránky. V praxi to znamená to, že se vždy zasekne u okraje stránky a nejde přes něj přetáhnout.

Tahle falešná okna většinou nemají identický design lišty s designem lišty vašeho prohlížeče. Pokud design vašeho prohlížeče, nekoresponduje s designem pop-up okna, pravděpodobně se bude jednat o podvod.

design lišty v prohlížeči



design pravého pop-up okna (v prohlížeči)



design falešného pop-up okna (lze pozorovat, že design lišty nesedí s designem lišty v prohlížeči)

Vždy si v prohlížeči zkontrolujte, že pop-up okno je v otevřeno v prohlížeči. Jak na to? Najeďte kurzorem na prohlížeč a pokud zde vidíte ono Steam okno, tak víte, že okno není falešné. Popup okno nemusí být falešné, ale web v něm ano, proto je potřeba se vždy zkontrolovat zda se nejedná o phishing


kontrola zda je okno otevřeno v prohlížeči

Co mám dělat, když jsem se na nějakou podvodnou stránku přihlásil?

Pokud vám útočníci nestihli odcizit účet, tak si okamžitě změňte heslo. Pokud nemáte aktivované dvoufázové ověření Steam Guard, tak si jej aktivujte. Útočnicí vám pravděpodobně odcizili a vygenerovali API klíč. Ten si zde deaktivujte, aby vás přes něj nemohli okrást o vaše in-game předměty (CS:GO skiny apod). V případě, že vám odcizili účet, kontaktuje Steam Support zde

Jak tenhle podvod funguje?

V okamžiku, kdy zadáte vaše přihlašovací údaje na falešnou stránku se odešle požadavek botovi, který se na vás účet přihlásí. Bot následně vygeneruje API klíč, přes který za Vás může posílat a rušit trade offery. Tyhle offery, ale nemůže potvrzovat, to musíte vy přes váš Steam Guard.

Nejnebezpečnější věc je na tomhle typu podvodu je to, že vy jako oběť nemusíte vědět, zda má útočník váš API klíč. V moment kdy někomu budete chtít darovat in-game předmět, tak útočník přes váš API klíč tento offer zruší a místo toho pošle ten stejný identický offer, akorát tenkorát příjemce bude on a ne osoba, které to posíláte. Možná si říkáte, že by jste si všimli, když by to nebyl účet toho, komu to posíláte. Na tohle útočníci taktéž mysleli, a v moment co útočník za vás posílá sám sobě stejný offer, tak si změní profilovou fotku i jméno na tu osobu, které původně tenhle předmět měl být poslán. Tohle vše dělá za útočníka skript a vše se stane během sekundy a prakticky vy si toho nevšimnete. Opět zde přichází věc, kterou útočník nemůže napodobit, a to je datum registrace účtu, kterému to posíláte. Ten si při konečném potvrzování obchodu ve Steam Guardu zkontrolujte, a pokud nesedí, tak se jedná o podvod a postupujte podle phishing.

Na závěr bot pomocí skriptu začne přes váš účet šířit tuhle podvodnou stránku se snahou nalákat více lidí.