Для тех, кто не хочет потерять свои скины

Небольшая заметка о том, как мошенники могут угнать у вас вещи из инвентаря, а вы даже не заметите этого.

UPD

В связи с недавними изменениями в системе трейда CSGO, наш маркет по CSGO работает через специальную программу, требующую генерацию API ключа Steam. 
Так что если продаете у нас - не пугайтесь, если у вас появится API ключ. Однако ответственность за защиту доступа к аккаунту все еще на вашей совести. Мошенник не должен узнать этот API ключ, поэтому следите за тем, куда вы вводите код подтверждения из Steam Guard. Пользуйтесь только проверенными сайтами и программами. 

Угон вещей с помощью API ключа Steam

Что происходит

Пользователь пополняет какой-нибудь сайт скинами, но деньги на сайт не приходят. Оказалось, он отправил их мошеннику, однако проверочный код трейда совпадал.

Как это происходит?

1) Пользователь нажимает кнопку пополнение счет на сайте

2) Бот сайта присылает пользователю трейд с секретным кодом

3) Мошенник, имеющий доступ к API ключу пользователя, получает информацию о трейде - проверочный код, имя бота, список вещей, которые пользователь собирается отдать настоящему боту.

4) Мошенник, используя API ключ пользователя, отменяет трейд, который прислал бот настоящего сервиса

5) Мошенник меняет ник своего бота и присылает пользователю трейд с таким же проверочным кодом и с таким же списком вещей.

6) Пользователь принимает трейд, даже не замечая подмены. Процесс скорее всего полностью автоматизирован.

Что такое API ключ?

Это комбинация цифр и букв, которая дает доступ действиям над аккаунтом Steam. Конкретно мошенники используют его для получения информации о трейдах и для их отмены

Как мошенник узнает API ключ пользователя?

С помощью заманивания пользователей на сайт с поддельной формой авторизации - пользователь вводит логин и пароль с проверочным кодом из аутентификатора и фейковый сайт моментально создает API ключ, который он в последствии использует. 

Ниже приведены примеры таких поддельных форм.


Форма авторизации открывается в маленьком окне. Поле адреса страницы пустое. Логин и пароль не заполняются автоматически, если сохранены в браузере.

Форма авторизации открывается в маленьком окне. Поле адреса поддельное, сделано в виде HTML элемента. Логин и пароль не заполняются автоматически, если сохранены в браузере.

Без действий со стороны пользователя, получить этот ключ невозможно. 

Как проверить не взломан ли мой аккаунт? 

Зайдите сюда https://steamcommunity.com/dev/apikey и проверьте сгенерирован ли у вас на аккаунте API ключ. 

Если аккаунт чист - никакого ключа там не будет.

Если если там есть ключ и вы его не создавали САМОСТОЯТЕЛЬНО (или его не создала программа market.app) то ваш аккаунт 100% взломан.

Еще можно попробовать продать что-то дорогое или пополнить счет с помощью SkinPay

Перед подтверждением трейда в телефоне зайдите сюда
http://steamcommunity.com/id/me/tradeoffers/
Если увидите 2 трейда с одинаковыми проверочными кодами, причем один отмененный а другой нет - ваш аккаунт взломан 100%

Как "вылечить" аккаунт?

Если вы не создавали API ключ и не знаете зачем он нужен - зайдите сюда https://steamcommunity.com/dev/apikey и немедленно удалите его, нажатием кнопки Revoke My Steam Web API Key

Зайдите сюда https://store.steampowered.com/twofactor/manage и нажмите "Выйти на всех других устройствах"

После этого смените пароль в Steam и обязательно следите за тем, чтобы API ключ не появился вновь. 

Отправьте ссылку на эту заметку всем своим друзьям, чтобы они не попались на это. Предупрежден - вооружен.