В последние месяцы количество фишинговых ботов и сайтов резко возросло. Атаки «посредника» направлены на перехват и сбор идентификаторов пользователей и данных аутентификации, чтобы в дальнейшем получить доступ к их денежным средствам и другим активам, таким как ваши внутриигровые предметы в Steam.

Популярные трюки социальной инженерии уже не эффективны, по крайней мере, для опытных пользователей, так как Valve представила свое оружие кибербезопасности, именуемое Steam Guard .

Благодаря двухфакторной аутентификации киберпреступникам стало намного сложнее украсть или иным образом неправомерно использовать данные вашего аккаунта.

Все транзакции между пользователями на сайте должны быть подтверждены через электронную почту или, лучше всего, через смартфон пользователя.

К сожалению, кибер-мошенники изобретают новые способы обмануть геймеров. Одна из новых популярных фишинговых угроз для учетных записей пользователей в Steam – это скам с ключами Web API .

Это также применительно и для любого другого цифрового рынка, где для подтверждения транзакций используются личные ключи API.

Вот как работает классический обман:

  1. Мошенники приманивают и ищут своих потенциальных жертв, используя общедоступные рекламные инструменты Google, такие как исследование и анализ ключевых слов для сбора информации на популярных веб-сайтах и торговых площадках, которые в основном посещают геймеры и другие пользователи.
  2. После оценки результатов поиска обычного игрока киберпреступники используют средства прямой рекламы, такие как Google AdWords, для создания высокого рейтинга своих поддельных сайтов. Адрес мошеннического сайта всегда выглядит почти идентично подлинному, за исключением нескольких добавленных или неправильно написанных символов.

  3. Поддельный сайт благодаря использованию рекламы Гугл находится выше настоящего в поисковой выдаче, имея дополнительные буквы nf в домене (на данный момент применимо к опскинс это исправлено на стороне Гугл)
  4. Невнимательный пользователь нажимает верхнюю ссылку на странице результатов поиска, которая не является настоящей, и ведет его на фишинговый сайт.
  5. Поддельные сайты обычно полностью копируют оригинальный интерфейс, домашнюю и лэндинг-страницы, вынуждая обманутых пользователей войти с помощью своего аккаунта и оставить свои личные данные, такие как логин и пароль. Вот где мошенники начинают свою работу по краже учетных записей пользователей.
  6. Когда данные учетной записи извлекаются, злоумышленники получают полный контроль над похищенными учетными записями Steam и получают ключи API для мониторинга дальнейших транзакций.
  7. Мошенничество вступит в действие, как только пользователь решит купить или продать свои игровые предметы в Steam или на любой схожей площадке.
  8. Как только бот Steam отправляет пользователю настоящее предложение обмена, бот мошенника немедленно отменяет трейдоффер (благодаря имеющемуся у мошенника API key жертвы) и создает свое поддельное предложение, отправляя его на мобильный телефон или адрес электронной почты пользователя.
  9. Поскольку поддельные и настоящие предложения обмена выглядят совершенно одинаково (в обмене участвуют те же самые предметы), жертва подтверждает обмен с помощью своей электронной почты или приложением для аутентификации на мобильном телефоне. С этого момента все предметы исчезли из инвентаря пользователя навсегда.
    Если жертва проверит историю своих обменов, она может увидеть, что есть два предложения обмена, где реальное предложение было отменено.

Вот так выглядит попытка похищения предметов с помощью API key. Мошенник отправил трейд на те же предметы, добавив сопутствующее сообщения настоящего бота lootfarm.

Единственное отличие – мошенник не предложил предметы, участвующие в обмене, и не успел изменить ник/аватарку под бота. Поэтому этот пользователь не попался на этот трейд (вероятно, не обратил на него внимания, приняв настоящий).

Но при использовании сайта, где требовалось только пополнение своего счета скинами, он не обратил внимания на бота и отдал все свои предметы тому же мошеннику:

Если открыть профиль одного из таких мошенников и периодически обновлять страницу, то можно заметить, как меняется ник и аватарка мошенника в зависимости от имитируемого сайта.

Имея это в виду, давайте выясним, что может сделать обычный пользователь, чтобы предотвратить такое мошенничество и сохранить свою учетную запись Steam в целости и сохранности от мошеннических атак?

Практически ничего не поделать с отображением мошеннических сайтов в топе поиска Google, за исключением отправки жалоб в службы их технической поддержки.

Но все равно, принятие мер со стороны техподдержки Гугл займет какое-то время, поэтому большое количество жертв неизбежно.

Как вернуть предметы, которые были переданы через поддельный трейд оффер?

Никак. Конечно, вы можете написать в техподдержку стима о мошеннических действиях, подкрепить это дело скриншотами и запросить возврат, но шансы на возврат невероятно малы.

Однако пользователи могут защитить свои собственные учетные записи Steam, выполнив несколько простых шагов.

4 способа избежать взлома аккаунта

Классическое правило здесь «лучше обезопасить себя, чем потом сожалеть» . Есть несколько простых вещей, которые вы можете сделать заранее, чтобы защитить свой аккаунт Steam (или любой другой) от мошенничества и кражи.

  • Аутентификация только через Steam и сайты, которым вы доверяете. Чтобы свести к минимуму ваши шансы на серьезные проблемы с фишинговыми сайтами, войдите в свою учетную запись Steam только в Steam или, по крайней мере, на торговых площадках, в которых вы уверены. Внимательно следите за ссылкой на веб-сайт, по которой вы собираетесь перейти. Авторизоваться в Steam всегда намного безопаснее, независимо от того, какую торговую площадку в игре вы собираетесь использовать.
  • Внимательно читайте ссылку на ваш любимый популярный сайт для трейдинга/продажи. В случае с опскинс в браузере слева от адреса сайта будет зеленая отметка OPSKINS GROUP INC. [CA]

  • Смена пароля. Это отличный способ завершить текущий сеанс в Steam и заблокировать доступ мошенников к вашей учетной записи. Вы можете изменить свои учетные данные для входа в Steam двумя способами – нажав «Забыли пароль» или «Изменить мой пароль». Первый вариант предпочтительнее, так как он позволяет вам продолжать трейдится в Steam без периода приостановки обмена.
  • Удаление ключа Steam Web API . Если ваш аккаунт взломан, ключ API, очевидно, находится в базе данных мошенников. Поэтому зайдите на свою страницу пользователя в Steam, найдите свой текущий ключ API и позвольте Steam создать новый ключ. Возьмите в привычку регулярно менять свой Steam Web API ключ, чтобы убедиться, что ваша учетная запись в безопасности и не используется злоумышленниками. Здесь https://steamcommunity.com/dev/apikey вы можете отозвать и заново сгенерировать свой ключ.


  • Проверяйте отправленные предложения обмена. Посетите свою страницу Steam и переходите на эту страницу https://steamcommunity.com/my/tradeoffers/sent/ каждый раз, когда у вас есть предложения обмена, которые будут подтверждены вашим мобильным телефоном или электронной почтой.

Помните, что безопасность вашей учетной записи Steam – это прежде всего ваша собственная обязанность.

С ледуйте нашим инструкциям и хорошо проводите время, торгуя своими игровыми предметами безопасным и прозрачным способом.

PHP скрипт для авторизации пользователей на сайте через аккаунт Steam с помощью API.

Для начала Вам нужно получить ключ Steam Web API. Зарегистрировать ключ Steam Web API можно по этой ссылке. Обратите внимание, что для получения доступа к регистрации ключа — необходимо пополнить баланс Steam аккаунта на 5$.

В официальной документации по API сказано, что авторизацию можно реализовать с помощью стандарта OpenID. Для облегчения задачи скачиваем готовую библиотеку LightOpenID.

Теперь пишем сам скрипт получения данных о пользователе на php:

Posted in Работа с API on Jul 24, 2018 by imitronov

Сервис цифровой дистрибуции Steam от компании Valve становится всё более популярным среди игроков. По состоянию на январь 2013, через Steam распространяется более трёх тысяч товаров, на которые действуют ежедневные, срединедельные и скидки на выходные дни, а количество зарегистрированных аккаунтов превысило 60 миллионов.

В настоящее время, в рунете очень мало информации об использовании Steam Api (или же Steam Web Api). В данном топике я расскажу о том, как получать нужную вам информацию из сообщества Steam для интеграции её в свои сайты, блоги или же просто получить информацию о пользователе, не заходя в Steam.

Начнем с главного. После несложных действий, я создал одну php страницу, которая, по запросу имени пользователя, либо SteamID или SteamcommunityID, выводит множество подробной информации о профиле Steam. Информации там намного больше, чем предоставляют аналогичные англоязычные сервисы.

Посмотреть работу страницы можно здесь. При желании, можно существенно доработать сервис, например добавить возможность определить, какие игры есть на аккаунте конкретного пользователя, и сколько они стоят (как когда-то делал steamcalculator).

Кому интересен исходный код моей страницы, алгоритм определения типа вводимых данных или алгоритм перебора одинаковых xml параметров, можете написать мне тут, или в контактной информации на той странице.

Открываем капот Steam
Информацию о пользователе Steam можно получить несколькими способами. Наиболее популярные из них, это:
— использовать именно Steam Web Api, который предлагают они нам сами (но предоставленной информации там увы не много)
— получать и обрабатывать данные сообщества напрямую, в формате xml.
— получать и обрабатывать данные сообщества напрямую, в формате json.

Первый способ мне не особо интересен, я пользовался сразу двумя оставшимися.

XML
Получить информацию о пользователе довольно просто. Достаточно лишь ввести в адресную строку браузера запрос в виде:
steamcommunity.com/profiles*Steam > Например:
steamcommunity.com/profiles/76561198036370701/?xml=1
(к слову, если пользователь имеет CustomURL, то адрес ссылки изменится с ". /profiles/*SteamID*/. " на ". /id/*CustomURL*/. ")

Эту страницу можно ловить и обрабатывать при помощи cURL или (что для меня проще) функции simplexml_load_file();, например:
$slf = "http://steamcommunity.com/profiles/76561198036370701/?xml=1";
$url = simplexml_load_file($slf);

Теперь, чтобы вывести, например, содержимое тегов . , в любом месте вашей страницы, можно использовать следующий код:
steamID;?>

JSON
Прежде всего вам понадобится apikey. Зарегистрировать его можно здесь.

Например:
$urljson = file_get_contents("http://api.steampowered.com/ISteamUser/GetPlayerSummaries/v0002/?key=38A3BEAE3EFA726E4438207D08CB0EC7&steam >
$data = (array) json_decode($urljson)->response->players[0];

А выводить, например содержимое блока profileurl строчкой кода:

Подводим итог
Методы получения информации о пользователе Steam не ограничиваются теми, что я привел. Те ссылки, которыми я получал данные используются только для получения суммарной (общей) информации. Отдельно можно получать список игр пользователя, список друзей, список групп, предметов инвентаря и мастерской и многое другое.

На основе полученных данных можно также сделать сервис генерации баннеров, юзербаров, профайлов для форумов и блогов, по аналогии с сервисом steamprofile.

Из недостатков работы сервиса можно выделить то, что в пик нагруженности серверов Steam, для получения информации о пользователе время запроса данных может колебаться от 0,1 до 12 секунд, а также часто втречается ошибка 503 (сервис недоступен), приходится отправлять запрос заново. Как вариант решения проблемы — не отправлять запрос чаще, чем раз в 10 секунд. Если у вас есть другие способы решения проблемы, пишите.