Domov
Servéry
Demá
Obchod
Tím
Novinky
FAQ
Search user

Ako zabrániť podvodu s kľúčom API služby Steam a ako to funguje?

sobota 29. januára 2022

V poslednej dobe sa nám rozmohol jeden nešvar.Mohli ste zaznamenať, že vám vaši priatelia na Steame začali posielať podvodné odkazy a pozývať vás do súťaží apod.

Keď vám príde odkať, býva väčšinou s nejakou zámienkou ako je hlasovanie v súťaži alebo turnaj. Tento odkaz za žiadnu cenu neotvárajte! Jedná sa o podvodnu kópiu Steam stránky, taktiež nazývaný ako phishing, ktorá v dnešnej dobe môže byť identická 1 k 1 s oficiálnou stránkou.

Čo je cieľom útočníkov?

Jak už to tak býva, tak útočníci sa z vašeho účtu snažia získať peniaze.

Pokiaľ budete mať balance vo vašej Steam peňaženke, pravdepodobne si útočník z druhého účtu listne na Steam Market bezcenný predmet za premrštenú sumu a ten z vašeho účtu kúpi. Čo tým docieli? Vďaka tomuto si prevedie peniaze z vašej peňaženky na jeho účet. V momentalnej dobe Steam nevyžaduje žiadne potvrdenie pri nákupu na Steam Markete.

Ďalším cieľom je získať in-game predmety (CS:GO skiny). Túto metódu si popíšeme nižšie v šlánku.

Ako poznať, že sa jedná o fake login stránku?

Identická kópia stránky aka. "phishing"

Je kopec spôsobov ako poznať, že sa jedná o fake stránku, my vám tu vypíšeme tie najdôležitejšie parametre, na ktore si dávať pozor.

Fake login stránky po vás vyžaduje autentizačne údaje (užívateľské meno a heslo), aby sa vám dostali na váš účet. To oficiálna stránka od Steam po vás nevyžaduje v prípade, že ste prihlásený (viz. screenshot). Pokiaľ viete, že ste prihlásený na oficiálnom Steamu a nevidíte predvyplnene údaje u Steam loginu, tak si môžete byť istý, že sa jedná o podvod a na takúto stránku sa neprihlasujte! Tu platí jedno zásadné pravidlo a to vždy sa prihlasovať cez oficiálnu stránku Steamu, následne len potvrdzovať predvyplnené údaje.

Pred tým než sa prihlásite, tak si vždy skontrolujte vo vašom prehliadači adresu na ktorej sa nachádzate. Najpoužívanejšie oficiílne adresy Steamu sú steamcommunity.com a steampowered.com. Podvodníci sa vás budú snažiť napáliť a urobiť čo najviac totožnú stránku, preto môžú zmeniť niektoré písmenka v doméne, ktorú vlastní. Tohoto preklepi si na prvý pohľad nemusíte všimnúť, a tak potrebujete si prve toto skontrolovať pred tým než sa prihlásite. Ako príklad môže byť steamcomnity.com apod. Taktiež vám môže pre kontrolu pomôcť ikona zámku zabezpečenia. Nespoliehajte sa na zámok 🔒 Podvodne stránky si toto zabezpečenie môžu zohnať.

takto vypadajú predvyplnené údaje

Falošné pop-up okno

Obľubenou praktikou je aj falošné pop-up okno, ktoré je súčasťou webu. Čo to je? Je to vyskakovacie okno, ktoré sa tvrári ako okno prehliadača, ale v skutočnosti sa jedná len o súčasť samotného webu. Okno je nakódované v rámci webu a tak podvodníci si do tohto okna môžu dať čo chcú. Vo finále sa toto okno môže tváriť ako oficiálna stránka Steamu. Je tu jedna vec, ktorú podvodníci nemôžu napodobniť. Toto okno sa nedá pretiahnuť zo stránky von, pretože je súčasť stránky. V praxi to znamená to, že sa vždy zasekne u okraja stránky a nejde cez neho pretiahnuť.

Takto falošne okná väčšinou nemajú identicky design lišty s designom lišty vašeho prehliadača. Pokiaľ design vašeho prehliadača, nekorešponduje s designom pop-up okna, pravdepodobne sa bude jednať o podvod.

design lišty v prehliadači



design pravého pop-up okna (v prehliadači)



design falošného pop-up okna (môžte si všimnúť, že design lišty nesedí s designom lišty v prehliadači)

Vždy si v prehliadači skontrolujte, že pop-up okno je otvorené v prehliadači. Jak na to? Choďte kurzorom na prehliadač a pokiaľ tu vidíte ono Steam okno, tak viete, že okno nie je falošné. Popup okno nemusí byť falošné, ale web v ňom áno, preto je potreba si vždy skontrolovať či sa nejedná o phishing


kontrola či je okno otvorené v prehliadači

čo mám robiť, keď som sa na nejakú podvodnou stránku prihlásil?

Pokiaľ vám útočníci nestihli odcudziť účet, tak si okamžite zmeňte heslo. Pokiaľ nemáte aktitované dvojfázové overenie Steam Guard, tak si ho aktivujte. Útočníci vám pravdepodobne odcudzili a vygenerovali API klúč. Ten si tu môžete deaktivovať, aby vás cez neho nemohlo okradnúť o vaše in-game predmety (CS:GO skiny apod). V prípade, že vám odcudzili účet, kontaktujte Steam Support tu

Ako tento podvod funguje?

V okamihu, keď zadávate prihlasovacie údaje na falošnu stránku sa odošle požiadavka botovi, ktorý sa na váš účet prihlási. Bot následne vygeneruje API klúč, cez ktorý za vás môže posielať a rušiť trade offery. Tieto offery, ale nemôže potvrdzovať, to musíte by cez váš Steam Guard.

Najnebezpečnejšia vec je na tomto typu podvodu to, že vy ako obeť nemusíte vedieť, či má útočník váš API kľúč. V momente keď niekomu budete chcieť darovať in-game predmety, tak útočník cez váš API klúč tento offer zruší a miesto toho pošle ten istý identický offer, akurát tentokrát príjemca bude on a ne osoba, ktorej to posielate. Možná si hovoríte, že by ste si všimli, keď by to nebol účet toho, komu to posielate. Na toto útočníci tiež mysleli a v moment čo útočník za vás posiela sám sebe istý offer, tak si zmení profilovú fotku a meno na tu osobu, ktorej pôvodne tento predmet mal byť poslaný. Toto všetko robí za útočníka skript a všetko sa stane behom sekundy a prakticky vy si toho nevšimnete. Opäť tu prichádza vec, ktorú útočník nemôže napodobniť a to je datum registrácie účtu, ktorému to posielate. Ten si pri konečnom potvrdzovaní obchodu v Steam Guard skontrolujte a pokiaľ nesedí tak sa jedná o podvod a postupujte podľa phishing.

Na záver bot pomocou skriptu začne cez váš účet šíriť túto podvodnu stránku so snahou nalákať viac ľudí.