Игровое сообщество Steam становится всё популярнее, а значит, привлекает внимание не только новых пользователей, но и мошенников, целью которых, как правило, становятся аккаунты, богатые различными редкими или дорогими предметами.
Мошенники стремятся обмануть доверчивых пользователей, заставив их раскрыть свои данные, используют вредоносное ПО или другие способы заполучить чужой аккаунт. Далее мы расскажем о наиболее распространённых схемах мошенничества, а также способах, как защитить свой аккаунт от взлома.
Способы хищения в Steam
1. Фишинговые атаки
Одним из наиболее распространённых способов хищения данных пользователей являются фишинговые атаки. Суть такого мошенничества заключается в том, что пользователя пытаются обманным путём заставить раскрыть свои данные. Для этого могут использоваться фишинговые сайты с похожим адресом и почти идентичным внешним видом, авторизация через Steam, ссылки с преобразованием последовательности символов и прочие уловки, цель которых одна — заставить пользователя перейти на поддельный сайт и самостоятельно ввести там свои данные для входа в аккаунт.
1.1 Сообщения от «друзей»
Если аккаунт кого-то из ваших друзей взломали, то мошенники могут прислать от его имени сообщение, содержащее ссылку на фишинговый сайт. Например, это может быть предложение перейти по ссылке и получить одну из случайных игр Steam в подарок, просьба о поддержке голосованием и т.д. Фальшивая ссылка при этом может отличаться всего одной буквой от настоящей. Например, вместо steamcommunity.com будет название домена stеаmcomnunity и т.п.
Иногда схемы бывают более сложными. Например, когда мошенники вычисляют сетевую активность нужного им аккаунта и могут подружиться с пользователем во время игры. Затем они отслеживают, с кем он общается чаще всего, подделывают аккаунт этого пользователя (устанавливают ту же аватарку, используют то же имя и т.п.) и посылают с него сообщение со ссылкой на фишинговый сайт.
Чаще всего мошенники делают рассылку сообщений всему списку контактов этого аккаунта, чтобы привлечь как можно больше человек.
1.2 Авторизация через Steam
На некоторые сайты можно войти, используя данные Steam (посредством Steam WebAPI / Steam OpenID). Если вы применяете такой способ входа, следует убедиться, что это один из адресов, принадлежащих Valve:
- https://steamcommunity.com
- https://steampowered.com
- https://support.steampowered.com
- https://store.steampowered.com
Если вы пытаетесь перейти по сторонней ссылке со Steam, платформа обычно предупреждает о возможных проблемах. Не стоит переходить на ресурсы, в подлинности которых вы не уверены и, тем более, вводить там свои учётные данные.
1.3 Поддельный домен
Мошенники часто создают поддельные сайты, максимально повторяющие оригинал, чтобы невнимательный пользователь ввёл свой логин и пароль. Для таких ресурсов регистрируют домены, адрес которых очень похож на адрес настоящего сайта. Если ввести логин и пароль на таком ресурсе, то аккаунт можно считать потерянным. Поэтому перед авторизацией всегда стоит внимательно проверять ссылку в адресной строке. Убедитесь, что в первой части URL-адреса в качестве домена Steam находится один из тех, что были перечислены выше.
Также нужно иметь в виду, что все официальные страницы авторизации Steam защищены SSL-сертификатом расширенной проверки. В большинстве случаев это выглядит как значок замка перед адресом сайтов Steam в адресной строке. При нажатии на него появляется окошко с текстом «Сертификат (действительный). Кому выдан: Valve Corp (US)»
1.4 Преобразование последовательности символов
Этот способ схож с подделкой домена, но в этом случае фальшивую ссылку сложнее распознать, так как она выглядит в точности так же, как оригинал. Однако при переходе по ней пользователь оказывается на фишинговом ресурсе, а в некоторых случаях может скачать и вредоносное ПО.
Наилучший способ защиты - ввод нужного адреса вручную или копирование только последней части ссылки после домена. Если же вы не хотите копировать адрес по частям или вводить его вручную, убедитесь, что переходите именно по той ссылке, которая вам нужна. При переходе со Steam на сторонний ресурс появляется предупреждение о том, что вы покидаете сайт, и в этом окне отображается действительная ссылка, по которой вы переходите.
1.5 Попытка заставить пользователя передать SSFN-файл
Иногда мошенники пытаются обойти защиту Steam и просят пользователя поделиться файлом SSFN из папки установки Steam. Эти файлы являются подтверждением, что данное устройство уже авторизовано и не требует кода SteamGuard (функция «Запомнить меня»).
Поэтому этот файл ни в коем случае нельзя загружать на сторонние ресурсы, нельзя делиться им с посторонними. Сами представители Valve никогда не будут просить у вас этот файл.
Попытки мошенников выудить этот файл у пользователя схожи с прочими фишинговыми схемами – назваться представителем Valve, специалистом Службы поддержки, принудить к скачиванию стороннего ПО или расширения.
1.6 Ловушка в Мастерской
В мастерской в Steam можно загружать различный контент для игр: моды, скины и т.п. Всё это создаётся и публикуется самими игроками. Однако иногда там могут появляться сообщения, в которых под предлогом раздачи бесплатных скинов размещаются ссылки на фишинговые ресурсы. Поэтому стоит сохранять бдительность и быть очень осторожным, переходя по ссылкам в описании.
1.7 Ложные оповещения TeamSpeak
Представьте, что вы получаете предложение поучаствовать в турнире или в командной игре для повышения рейтинга. После согласия и решения присоединиться злоумышленник предлагает поиграть с помощью голосовой программы TeamSpeak.
После запуска этой программы мошенник присылает IP-адрес сервера, где якобы находятся члены команды для общения во время игры. При попытке присоединиться открывается сообщение с просьбой обновиться до последней версии программы.
Ни в коем случае не стоит доверять этому. Не переходите по ссылкам в подобных сообщениях — окна, появляющиеся при подключении к серверу, относятся к сообщениям с сервера и не являются уведомлениями программы TeamSpeak. Предложение обновить программу появляется непосредственно при запуске самой программы, если её версия устарела.
Если при попытке подключиться к серверу всплывает странное сообщение со ссылкой и просьбой обновить клиент, а в названии окна прописано «Host message» — это прямое указание на то, что данное сообщение с голосового сервера и не является программным.
2. С помощью психологических приёмов и уловок
2.1 Обход двойной аутентификации через программу QuickSupport
Quick Support — аналог программы TeamViewer, которая используется для удалённого подключения к рабочему столу. Мошенники могут использовать её для обхода двойной аутентификации в Steam.
Сперва жертву убеждают установить программу Quick Support или подобную ей, а затем пытаются выудить код подключения (ID) и запрашивают подтверждение на доступ к устройству. Если согласиться, злоумышленники получат полный контроль над вашим мобильным устройством.
История для усыпления бдительности может использоваться любая, мошенники пользуются доверчивостью пользователя.
2.2 Мошенничество, совершенное посредством сговора группы лиц
Представьте, что пользователю предлагают сыграть в какую-нибудь игру в команде. Сперва всё идёт как обычно, товарищи по команде ведут себя как любые другие... Но в какой-то момент один из участников предлагает членам команды купить у них игровые предметы. При этом даёт цену выше обычной. Некоторые товарищи по команде интересуются этим предложением, кто-то даже соглашается на него, скидывает скины, после чего сообщает, что деньги поступили на счёт. В этот момент пользователю может прийти мысль «не продать ли и мне какие-то скины?». Однако денег после этого на кошелёк не поступает.
Дело в том, что в такой ситуации игрок становится жертвой группы мошенников, предварительно сговорившихся о схеме, по которой они будут действовать. И остальные ребята из команды на самом деле — приятели скупщика предметов, устроившие своеобразный спектакль, чтобы обмануть доверчивых пользователей. Поэтому ни в коем случае не стоит соглашаться на подобные предложения незнакомых игроков.
2.3 «Ухожу из игры и раздаю вещи»
В этом случае злоумышленник притворяется, что покидает игру и говорит, что готов обменять предметы, которые есть у него, на вещи в той игре, куда он планирует уйти. Он может объяснять это тем, что не хочет начинать с нуля, ему хотелось бы выделиться и т.п. При этом вещь, которую он хочет, не слишком дорогая, но редкая.
В обмен на предмет игрок предлагает все содержимое своего инвентаря из той игры, откуда он планирует «уходить». Если вещь очень редкая, мошенник может даже предложить того, у кого её можно купить. Дальше пользователю могут скинуть либо фишинговую ссылку, либо трейдером окажется приятель мошенника, либо за игровой инвентарь потребуют что-то ещё.
2.4 Невнимательность при обмене
Мошенники могут попробовать заполучить ценный предмет, предложив обменять много мелких предметов на несколько средней стоимости. В результате получается, что их стоимость перекрывает друг друга. Однако содержимое обмена следует внимательно проверять, так как среди мелочи может оказаться какой-либо ваш ценный предмет.
2.5 «Верификация»
Иногда игрока могут попросить пройти «верификацию предмета» для подтверждения его подлинности. Однако программ с таким функционалом не существует — это мошенничество.
3. Самозванцы
3.1 Подмена аккаунта
Некоторые мошенники могут выдавать себя за кого-то другого или даже за вас. Например, они могут предложить обмен, но в последний момент засомневаются, можно ли вам доверять, и предложат совершить его через какого-нибудь вашего друга. В этом случае вы можете передать предмет своему другу, а мошенник скопирует ваш аккаунт и напишет ему, что процесс нужно срочно прервать, а предмет вернуть ему. Друг, вероятно, не заметит, что аккаунт фальшивый, и может «вернуть» предмет не вам, а мошеннику.
Чтобы предотвратить такие ситуации, можно воспользоваться удобной функцией Steam — «подписать ник». Эта функция доступна в выпадающем списке рядом с ником друга в разделе «Управление -> Изменить ник». В этом случае оригинальный никнейм заменяется на другой, выбранный вами. Вы можете переименовать своих друзей в списке на своё усмотрение — так мошенникам сложнее будет выдать себя за кого-то другого.
3.2 «Сотрудник Valve»
Некоторые злоумышленники могут представляться сотрудниками Valve. Предлог может использоваться любой — что на вас, якобы, поступила жалоба о мошенничестве, использовании чит-кодов и т.п., поэтому им нужно проверить ваш аккаунт. В сообщении лже-сотрудник Valve может потребовать выслать логин, пароль под угрозой, что в противном случае аккаунт будет заблокирован.
Помните, настоящие сотрудники Steam не будут требовать личных данных, каких-либо предметов и общаться будут только через официальную Службу поддержки Steam. Также модераторы и сотрудники Valve имеют специальные значки профиля в Steam, а в обсуждениях рядом с их ником можно увидеть дополнительную надпись «Valve».
3.3 Посредники
Если какая-либо сделка происходит за пределами Steam, принято осуществлять её через посредника. Мошенник может предложить своего посредника, который окажется подставным, даже если у него есть хорошая репутация на стороннем сервисе.
Если вы решаетесь на такие сделки, нужно убедиться в достоверности используемого посредника, самостоятельно проверив его личность.
3.4 Фальшивый аккаунт известного игрока
Схема та же, что и с любыми другими поддельными аккаунтами, но в этом случае копируется профиль какого-нибудь известного игрока, находящегося в топе, и от его имени высылается запрос в друзья.
Далее от мошенника может последовать просьба передать какой-нибудь предмет, например, чтобы снять ролик, предложение финансово вложиться в какой-нибудь проект и т.д.
Поэтому стоит проверить подлинность аккаунта — обычно достаточно вбить никнейм известного игрока в поисковик и найти ссылки на его настоящие соцсети.
3.5 Прочие схемы мошенничества
Злоумышленники могут представляться кем угодно — милой девушкой, которая будет радоваться подаренным предметам, копировать аккаунты друзей или даже имитировать ботов, пытаясь заполучить информацию для доступа к аккаунту, обманным путём выудить какой-нибудь предмет.
Не стоит сразу доверять информации в сообщениях, даже если они пришли от знакомых, переходить по ссылкам в них и т.п.
4. Вредоносное ПО
При переходе по ссылкам на сторонние ресурсы можно скачать вредоносную программу, которая может передавать с вашего компьютера информацию злоумышленнику. Это может быть любое приложение или расширение для браузера, содержащее вирус (троянские программы, вирусы-шпионы, кейлогеры и прочее).
Будьте внимательны — Steam не потребует загрузки каких-либо файлов на ваш ПК для получения доступа к аккаунту.
Также мошенники могут рекламировать какие-либо бесплатные предметы, чтобы пользователь сам разместил в своей системе вредоносные файлы. Например, это могут быть файлы .dll, bat, .exe или .scr. Через эти вирусные программы у пользователей крадут данные данные аккаунта Steam или информацию о картах для проведения платежей.
4.1 Бесплатный доступ к ESEA
В этой схеме мошенничества злоумышленник знакомится с жертвой, ведёт себя доброжелательно, даже может дарить недорогие предметы, а в какой-то момент спрашивает, слышали ли вы о платформе ESEA и не хотите ли поиграть на ней бесплатно.
Способ, как это сделать, может включать скачивание вредоносного ПО, из-за которого пользователь может потерять свою учётную запись.
Помните — сервисом ESEA нельзя пользоваться без подписки.
4.2 Браузерные расширения
Мошенник в ходе сделки может предложить установить пользователю неизвестное браузерное расширение, объяснив, что через него сделку будет удобнее провести, а расширение безопасно и находится в официальном магазине приложений.
В ходе сделки мошенник даже может предложить первым заплатить за покупку — после обновления страницы пользователь действительно увидит, что деньги поступили к нему на баланс. Однако такая информация отобразится только визуально, в силу изменения исходного кода страницы.
4.3 Глитчи приложений
Любое ПО, даже официальное, может содержать недочеты, незамеченные сразу разработчиками. В таком случае при выполнении некоторых действий программа может вести себя не так, как задумывалась изначально. Такие лазейки могут использовать мошенники в своих целях.
Steam периодически исправляет обнаруженные ошибки и выпускает «фиксы», но всё равно стоит соблюдать осторожность и не соглашаться совершать какие-либо нестандрартные действия с ПО, чтобы не быть обманутым.
5. Steam API
Steam API представляет собой комбинацию цифр и букв, дающую доступ к действиям над аккаунтом Steam. Из-за авторизации на фишинговом сайте злоумышленники могли получить доступ к вашей учётной записи и создать Steam API.
Далее мошенник получает управление без прямого доступа к аккаунту, при этом смена пароля не помогает.
- В этом случае сперва нужно проверить, сгенерирован ли на аккаунте ключ API;
- Если он там есть, но вы его никогда его не создавали — нужно сразу же его удалить, затем перети в настройки аккаунта и выбрать команду «Выйти на всех других устройствах»;
- Послеэтого нужно сменить пароль от учётной записи.
Как защитить свой Steam аккаунт?
Большая часть мошеннических схем основана на обмане и разных психологических уловках. Поэтому не рекомендуется использовать аккаунт совместно с кем-то. Также нужно быть осторожнее с переходом по сторонним ссылкам — тогда ваш аккаунт не украдут.
Важно следовать следующим правилам:
- Никогда не доверяйте пользователям, которые связываются с вами через сторонние приложения или обычные сообщения и называют себя сотрудниками или администраторами Valve;
- Никому не сообщайте свой логин и пароль, код аутентификатора и прочие личные данные;
- Не переходите по неизвестным ссылкам, даже если их прислал кто-то из списка друзей.
Для защиты аккаунта рекомендуется предпринять следующие действия.
Надёжный пароль
Используйте хороший пароль, содержащий не менее 6–8 символов, цифры, строчные и прописные буквы. Не устанавливайте простых паролей вроде даты рождения, клички питомца и простой последовательности букв и цифр вроде 12345, 12321, «qwerty» и т.п.
Имя и пароль должны быть уникальными и не совпадать с данными авторизации для других сервисов и площадок.
Не используйте ненадёжные устройства и сети
Старайтесь не осуществлять вход в аккаунт через ненадёжные сети или с общих компьютеров. Если это всё-таки приходится делать, убедитесь, что на устройстве есть антивирусное ПО, не устанавливайте галочку «Запомнить меня» и не сохраняйте пароль в браузере. После завершения сессии не забудьте выйти из аккаунта.
Установите антивирус
Используйте антивирусные программы и регулярно сканируйте ПК на наличие вирусов. Не забывайте обновлять базы антивирусных программ.
Проверяйте действия в аккаунте
В Steam есть полезная страница, на которой можно ознакомиться практически со всеми действиями, выполняемыми на учетной записи: с историей покупок, авторизацией на сторонних сайтах через Steam, историей входов в аккаунт и т.д. Периодически проверяйте её, чтобы вовремя обнаружить подозрительные действия, если данные входа в аккаунт были скомпрометированы.
Подтвердите адрес электронной почты
Подтверждение электронного адреса повысит безопасность аккаунта Steam. В этом случае для выполнение ряда действий, например, смены пароля, потребуется доступ к почте. Это позволяет дополнительно защитить учётную запись Steam от кражи.
Также рекомендуется копировать письма от Steam, например, пересылая их на другую свою почту. Это может помочь в случае, почту взломают или она окажется утерянной.
Двухфакторная аутентификация
Защититься от кражи пароля поможет двухфакторнаяаутентификация, также называемая Steam Guard. Если подключить этот механизм защиты, при попытке входа с какого-либо ещё устройства в учётную запись появится запрос не только о пароле, но и о дополнительным коде, генерируемом в специальном мобильном приложении Steam.
Коды обновляются каждые полминуты и работают только один раз, поэтому их практически невозможно подобрать. По умолчанию Steam отправляет эти коды по электронной почте. При необходимости можно настроить их получение через мобильное приложение.
Коды восстановления рекомендуется хранить в надежном месте — они помогут вернуть доступ к Steam Guard в случае проблем.
Семейный просмотр
В качестве ещё одной меры защиты можно настроить «Семейный просмотр». Настройки находятся в разделе «Семья» —> «Управление семейным просмотром».
Если включить «Семейный просмотр» и открытым только список игр, то в приложении Steam не будет видно ничего, кроме вкладки «Библиотека». При попытке попасть в другие разделы система запросит установленный пользователем пин-код для снятия ограничений.
Если авторизоваться на другом устройстве, «Семейный просмотр» также будет включен по умолчанию. За счёт этого при попытке получить доступ к аккаунту действия мошенников будут ограничены, даже если им удастся войти в аккаунт.
Рекомендуется использовать этот режим совместно со Steam Guard.
Steam Desktop Authenticator
Steam Desktop Authenticator – приложение для получения кодов аутентификации через ПК. Этот вариант обезопасить аккаунт будет удобен пользователям, не использующим мобильное приложение.
Однако некоторые SDA представляют собой вредоносное ПО, поэтому рекомендуется использовать оригинальную версию программы. Если вы не уверены в подлинности, такое приложение (и подобные ему) использовать не стоит.
Как настроить приватность в Steam?
Открытый профиль может стать приманкой для мошенников, если они приметят в вашей коллекции дорогие игры и предметы. В целях безопасности, а также чтобы сократить количество спама или возможных оскорблений, рекомендуется ограничить доступ к профилю. Настройки приватности находятся в разделе «Мой профиль» —> «Редактировать профиль» —> «Мои настройки приватности».
В мобильном приложении этот раздел можно найти по пути «Настройки» —> «Настройки приложения» —> «Настройки Steam» —> «Privacy Settings».
Как скрыть профиль
Полностью скрыть информацию профиля можно в разделе «Мой профиль», установив параметры «Только для друзей» или «Скрытый».
Так посторонним пользователям будут видны только имя и аватар.
Как скрыть данные об играх, предметах, друзьях
Списки игр, друзей, а также коллекции предметов также можно скрыть. Эти параметры доступны в разделах «Доступ к игровой информации», «Список друзей» и «Инвентарь» соответственно. Можно выбрать варианты «Только для друзей» или «Скрытый».
Как скрыть скриншоты и иллюстрации
Скрины и иллюстрации также при желании можно скрыть. Для этого в окне загрузки картинки в поле «Видимость» достаточно выбрать разделы «Для себя» или «Для друзей».
Уже загруженную картинку можно спрятать, перейдя в раздел Управление скриншотами, выбрав изображения, которые требуется скрыть и нажав «Показывать только друзьям» или «только себе». Также можно сделать картинку доступной только по ссылке и ограничить доступ к видео, модам и предметам, созданным в Мастерской.
Как избавиться от спама
Избавиться от спама поможет ограничение доступа к комментариям. Для этого нужно перейти в раздел с настройками приватности, нажать на ссылку возле пункта «Раздел комментариев» и выбрать варианты «Только для друзей» или «Скрытый».
Что делать если вы узнали о взломе?
Если вы не вышли из аккаунта на чужом компьютере или подозреваете, что учётная запись была взломана, можно осуществить принудительный выход из системы на всех устройствах кроме используемого в данный момент. Для этого нужно:
- Открыть Steam на ПК, перейти в «Настройки»
- В разделе «Аккаунт» перейти по ссылке «Управление настройками Steam Guard»
- На открывшейся странице нажать «Выйти на всех других устройствах».
Затем следует проверить, сгенерирован ли API-ключ. Если он есть, но создан не вами, его нужно сразу удалить, а затем сменить пароль аккаунта. Также желательно включить Steam Guard, если этого ещё не сделано.
На всякий случай просканируйте ПК на наличие вирусов. Если вы не можете войти в аккаунт — обратитесь в Службу поддержки Steam, нажав на кнопку помощи «не могу войти в аккаунт».
Далее следует выбрать вариант, что аккаунт был украден и вам необходима помощь с его восстановлением. Затем нужно следовать инструкциям и сбросить пароль. Для восстановления понадобится электронная почта. Если доступа к ней нет, нужно выбрать вариант «У меня больше нет доступа к этому адресу электронной почты». Затем требуется заполнить форму восстановления, приложив доказательства того, что именно вы — владелец аккаунта. Далее нужно ждать ответа на обращение. Ознакомиться с перечнем того, что нужно приложить в качестве доказательств, можно, прочитав официальную статью от Steam.
Также, если вам стало известно о злонамеренных действиях других пользователей, вы можете оставить жалобу на них. Эти обращения изучают сотрудники Службы поддержки Steam. Взлом аккаунтов и другие мошеннические действия являются серьезным преступлением в Steam, поэтому Valve разработала разные способы для защиты учетных записей игроков, а также предотвращения злонамеренных действий в дальнейшем.