Для тех, кто не хочет потерять свои скины

Небольшая заметка о том, как мошенники могут угнать у вас вещи из инвентаря, а вы даже не заметите этого.

UPD

В связи с недавними изменениями в системе трейда CSGO, наш маркет по CSGO работает через специальную программу, требующую генерацию API ключа Steam. 
Так что если продаете у нас - не пугайтесь, если у вас появится API ключ. Однако ответственность за защиту доступа к аккаунту все еще на вашей совести. Мошенник не должен узнать этот API ключ, поэтому следите за тем, куда вы вводите код подтверждения из Steam Guard. Пользуйтесь только проверенными сайтами и программами. 

Угон вещей с помощью API ключа Steam

Что происходит

Пользователь пополняет какой-нибудь сайт скинами, но деньги на сайт не приходят. Оказалось, он отправил их мошеннику, однако проверочный код трейда совпадал.

Как это происходит?

1) Пользователь нажимает кнопку пополнение счет на сайте

2) Бот сайта присылает пользователю трейд с секретным кодом

3) Мошенник, имеющий доступ к API ключу пользователя, получает информацию о трейде - проверочный код, имя бота, список вещей, которые пользователь собирается отдать настоящему боту.

4) Мошенник, используя API ключ пользователя, отменяет трейд, который прислал бот настоящего сервиса

5) Мошенник меняет ник своего бота и присылает пользователю трейд с таким же проверочным кодом и с таким же списком вещей.

6) Пользователь принимает трейд, даже не замечая подмены. Процесс скорее всего полностью автоматизирован.

Что такое API ключ?

Это комбинация цифр и букв, которая дает доступ действиям над аккаунтом Steam. Конкретно мошенники используют его для получения информации о трейдах и для их отмены

Как мошенник узнает API ключ пользователя?

Не известно. Возможно, это авторизация пользователя на сайте с поддельной формой Steam авторизации - пользователь вводит логин и пароль с проверочным кодом из аутентификатора и фейковый сайт моментально создает API ключ, который он в последствии использует. Но это не точно.

Ясно только одно - без действий со стороны пользователя, получить этот ключ невозможно. Проблема именно в этом а не в сайте, который пытаются пополнить и не в самом Steam.

Как проверить не взломан ли мой аккаунт? 

Зайдите сюда https://steamcommunity.com/dev/apikey и проверьте сгенерирован ли у вас на аккаунте API ключ. 

Если аккаунт чист - никакого ключа там не будет.

Если ваш аккаунт взломан указанным способом - там будет создан API ключ

Как "вылечить" аккаунт?

Если вы не создавали API ключ и не знаете зачем он нужен - немедленно удалите его, нажатием кнопки Revoke My Steam Web API Key

После этого смените пароль в Steam и обязательно следите за тем, чтобы API ключ не появился вновь. 

Отправьте ссылку на эту заметку всем своим друзьям, чтобы они не попались на это. Предупрежден - вооружен.