Небольшая заметка о том, как мошенники могут угнать у вас вещи из инвентаря, а вы даже не заметите этого.
В связи с недавними изменениями в системе трейда CSGO, наш маркет по CSGO работает через специальную программу, требующую генерацию API ключа Steam.
Так что если продаете у нас — не пугайтесь, если у вас появится API ключ. Однако ответственность за защиту доступа к аккаунту все еще на вашей совести. Мошенник не должен узнать этот API ключ, поэтому следите за тем, куда вы вводите код подтверждения из Steam Guard. Пользуйтесь только проверенными сайтами и программами.
Угон вещей с помощью API ключа Steam
Что происходит
Пользователь пополняет какой-нибудь сайт скинами, но деньги на сайт не приходят. Оказалось, он отправил их мошеннику, однако проверочный код трейда совпадал.
Как это происходит?
1) Пользователь нажимает кнопку пополнение счет на сайте
2) Бот сайта присылает пользователю трейд с секретным кодом
3) Мошенник, имеющий доступ к API ключу пользователя, получает информацию о трейде — проверочный код, имя бота, список вещей, которые пользователь собирается отдать настоящему боту.
Как получить текст объявления через API VK
4) Мошенник, используя API ключ пользователя, отменяет трейд, который прислал бот настоящего сервиса
5) Мошенник меняет ник своего бота и присылает пользователю трейд с таким же проверочным кодом и с таким же списком вещей.
6) Пользователь принимает трейд, даже не замечая подмены. Процесс скорее всего полностью автоматизирован.
Что такое API ключ?
Это комбинация цифр и букв, которая дает доступ действиям над аккаунтом Steam. Конкретно мошенники используют его для получения информации о трейдах и для их отмены.
Как мошенник узнает API ключ пользователя?
С помощью заманивания пользователей на сайт с поддельной формой авторизации — пользователь вводит логин и пароль с проверочным кодом из аутентификатора и фейковый сайт моментально создает API ключ, который он в последствии использует.
Ниже приведены примеры таких поддельных форм.
Форма авторизации открывается в маленьком окне. Поле адреса страницы пустое. Логин и пароль не заполняются автоматически, если сохранены в браузере.
Чуть более продвинутая версия скам формы.Форма авторизации открывается в маленьком окне. Поле адреса поддельное, сделано в виде HTML элемента. Логин и пароль не заполняются автоматически, если сохранены в браузере.
Без действий со стороны пользователя, получить этот ключ невозможно.
Как проверить не взломан ли мой аккаунт?
Зайдите сюда https://steamcommunity.com/dev/apikey и проверьте сгенерирован ли у вас на аккаунте API ключ.
VK API как получить Access Token, метод авторизации implicit flow и standalone приложение вконтакте
Если аккаунт чист — никакого ключа там не будет.
Если если там есть ключ и вы его не создавали САМОСТОЯТЕЛЬНО (или его не создала программа market.app) то ваш аккаунт 100% взломан.
Еще можно попробовать продать что-то дорогое или пополнить счет с помощью SkinPay
Перед подтверждением трейда в телефоне зайдите сюда
http://steamcommunity.com/id/me/tradeoffers/
Если увидите 2 трейда с одинаковыми проверочными кодами, причем один отмененный а другой нет — ваш аккаунт взломан 100%
Как вернуть предметы которые переданы через поддельный трейд?
Никак.
Компенсаций от маркета за подобное не предусмотрено.
Как «вылечить» аккаунт?
Если вы не создавали API ключ и не знаете зачем он нужен — зайдите сюда https://steamcommunity.com/dev/apikey и немедленно удалите его, нажатием кнопки Revoke My Steam Web API Key
Зайдите сюда https://store.steampowered.com/twofactor/manage и нажмите «Выйти на всех других устройствах»
После этого смените пароль в Steam и обязательно следите за тем, чтобы API ключ не появился вновь.
Отправьте ссылку на эту заметку всем своим друзьям, чтобы они не попались на это. Предупрежден — вооружен.
Источник: www.csgo.com
Как не потерять свои скины
В статье описывается ситуация о том, как могут украсть ваши игровые предметы с помощью API ключа и как этого избежать.
Что происходит?
Пользователь выставляет вещи на продажу, подтверждает обмен, а скины не появляются на сайте.
Как это происходит?
- 1. Пользователь нажимает кнопку для выставления предметов на продажу;
- 2. Наш бот присылает обмен (трейд) с секретным кодом;
- 3. Мошенник, который имеет доступ к API ключу пользователя, может получать полную информацию данного трейда: код безопасности, имя бота и список предметов, который пользователь собирается передать настоящему боту;
- 4. Мошенник, используя API ключ пользователя, отменяет обмен, который прислал наш бот;
- 5. Мошенник меняет аватар и имя своего бота, затем присылает пользователю обмен с таким же проверочным кодом и с таким же списком вещей;
- 6. Пользователь принимает фейковый обмен и не замечает подмены. Скорее всего, весь процесс обмана полностью автоматизирован, поэтому все работает достаточно быстро.
Что такое API ключ?
Это комбинация букв и цифр, которая позволяет совершать различные действия с аккаунтом в Steam. Для безопасности API ключ нельзя никому сообщать. В данном случае мошенники используют API ключ для получения информации об обменах и для их отмены.
Как мошенник узнает API ключ?
С помощью фишинга (вас приглашают на сайт, который имеет поддельную форму входа в Steam, вы вводите логин и пароль с проверочным кодом, и поддельный сайт моментально создает API ключ, записывает его в свою базу и далее использует данный ключ для подмены трейда).
Заметьте, что если логин и пароль сохранены в браузере, то они не заполняются автоматически.
Без действий со стороны пользователя, получить данный API ключ невозможно.
Как проверить не взломан ли мой аккаунт?
Зайдите сюда https://steamcommunity.com/dev/apikey и проверьте есть ли у вас на API ключ. Если ключа нет (как на скриншоте ниже), то ваш аккаунт не взломан. Если ключ есть и вы его САМОСТОЯТЕЛЬНО не создавали, то ваш аккаунт 100% взломан.
Также для проверки можно попробовать продать что-то дорогое.
Перед подтверждением обмена в телефоне, перейдите по этой ссылке http://steamcommunity.com/id/me/tradeoffers/. Если вы увидите 2 обмена с одинаковыми кодами безопасности от ЯКОБЫ одного и того же бота, причем один отмененный, а другой нет — ваш аккаунт взломан 100%.
Как вернуть предметы которые переданы через поддельный трейд?
К сожалению, никак.
Как «вылечить»/«восстановить» мой аккаунт?
Если вы не создавали API ключ и не знаете зачем он нужен — перейдите по этой ссылке https://steamcommunity.com/dev/apikey и удалите его, кликнув на кнопку «Отозвать мой ключ Steam Web API»
Далее перейдите по следующей ссылке https://store.steampowered.com/twofactor/manage и кликните на кнопку «Выйти на всех других устройствах»
После этого следует сменить пароль вашего акканута в Steam.
Пожалуйста, распространите информацию об этом способе обмана, отправив ссылку на эту статью своим друзьям, чтобы они не попались на это.
Как можно защить себя?
Проверяйте группу бота, которому отдаете предметы. Каждый наш бот состоит в закрытой группе Steam, мошенники не смогут ее подделать. Любые боты, которые не состоят в этой группе, не принадлежат и не управляются SkinsGuru.
Ваша безопасность в ваших руках!
Источник: skins.guru
Как взять Auth_Key? (Api_Secret VK)
у меня есть api_id, есть viewer_id, но нет api_secret. Без него ничего не могу сделать. Кто знает его значение? Или как я могу его найти?
03.12.2014, 11:43 | #2 |
Старший сержант
: 232 Популярность: 1456 Сказал(а) спасибо: 5 Поблагодарили 150 раз(а) в 56 сообщениях Формулу нашёл, а прочитать что такое api_secret не удосужился.. ай-яй-яй. ________________ |
Источник: zhyk.org