Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

Awatar użytkownika
Robin Hood
Posty: 142
Rejestracja: 11 mar 2016, o 10:21
Płeć: Mężczyzna
Podziękowania: 25 razy
Kontakt:

12 sie 2020, o 19:46

Remike już mnie kiedyś opierniczył bym nie wrzucał swoich filmów w oddzielne wątki (w razie czego moderator niech usunie mój wątek jeśli będzie to wielki problem), ale tym razem wyłamię się z tej zasady gdyż chcę was uczulić na złodziejaszków próbujących przejąć konto Steam.

Choć metoda jest prawie identyczna do tej stosowanej poprzednio - to tym razem działają nieco inaczej - bazując na zaufaniu i uczynności co może nieco przytępiać wrodzony zmysł ostrożności.

Schemat jest prosty: pomóż mi i zagłosuj na moją drużynę!

Oczywiście tak jak poprzednio ze skinami i drogimi grami tak i tutaj wiąże się to z podaniem swoich danych do konta na fejkowej stronie - jednak ponieważ prośba wygląda nieco inaczej i pochodzi od znajomego, można się naciąć. Jak pokazuje życie kilka osób z mojej listy znajomych też chciało już komuś pomóc... i potem musieli to odkręcać.

Złota zasada:
- loguj się tylko na stronie głównej sklepu Steam (https://store.steampowered.com/)
- jeśli jesteś zalogowany na stronie Steam i inna strona prosi cię o dane logowania (zamiast pokazywać przycisk "Zaloguj") - to coś jest nie tak!


W tym krótkim filmiku pokazałem różnicę pomiędzy tymi sytuacjami.

Obrazek


Gdyby ktoś był ciekawy jak to wygląda w praniu, to przedczoraj gość mi próbował właśnie w ten sposób skraść dane logowania: https://youtu.be/SL8fwaYDQTI?t=7718 (tak od około 2h 08m 30s)
Ostatnio zmieniony 12 sie 2020, o 22:51 przez HAKIMODO, łącznie zmieniany 1 raz.
Awatar użytkownika
Łowca
Posty: 42
Rejestracja: 3 sty 2020, o 18:07
Płeć: Mężczyzna
Podziękował: 37 razy
Podziękowania: 3 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 21:06

A jak ukradną takie konto to co oni z tym dalej robią?
Awatar użytkownika
Robin Hood
Posty: 142
Rejestracja: 11 mar 2016, o 10:21
Płeć: Mężczyzna
Podziękowania: 25 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 21:23

Właśnie sam do końca nie wiem do czego może im służyć...
Wcześniej (dawno temu) nie było zabezpieczeń więc mogli przesłać sobie jego zawartość (skiny, gifty itp.) do innego użytkownika. Teraz nakładana jest blokada handlu więc jest nieco czasu na jego odzyskanie i zatrzymanie tej transakcji nim przedmioty zostaną przesłane docelowej osobie.

Mogą na pewno poniszczyć zawartość ekwipunku (czego Steam może nie chcieć Ci zwrócić) albo pousuwać gry z konta (ale niby po co?). Jeśli jest kilka gier i właściciel nie odzyska konta przez tydzień-dwa-trzy to być może mogą traktować je jako pozyskane (i sprzedać gdzieś dalej). Bywały już takie przypadki, że gość odzyskał swoje konto jeszcze po tym... a tam nowe gry i nieco kasy w portfelu ;)

Nie wiem kiedy jest możliwe użycie kasy z konta i zakup jakichś przedmiotów z rynku. To by miało największy sens. Wystawiasz drożej jakieś przedmioty i kupujesz takimi kontami.

Czasami zdarzają się jakieś dziwne sytuacje gdy ktoś nagle wykupuje z rynku jakieś *klikklak* i ich cena skacze niebotycznie. Może jest to jakiś sposób na pranie brudnych pieniędzy - albo jeszcze inny przekręt.

Reasumując: prócz zniszczenia przedmiotów (ale po co to komu?) - konto można szybko odzyskać - nie widzę sensu ponieważ blokada handlu przez dwa tygodnie zatrzyma wszelkie wypływające transakcje (chyba, że ktoś nie sprawdzi konta po odzyskaniu - mnie nigdy nie ukradziono konta i nie wiem czy Steam w takim wypadku resetuje wypływające transakcje).
Być może generowany jest także token Steam i ten też jest do czegoś wykorzystywany. A może podbijają w ten sposób jakieś liczniki - np. liczbę obserwowanych kuratora, głosują na coś w ten sposób... albo jeszcze wykorzystują do czegoś innego?

Ciekawią mnie wasze domysły w tej materii.
Awatar użytkownika
Predator
Posty: 402
Rejestracja: 13 lut 2018, o 08:45
Płeć: Mężczyzna
Podziękował: 58 razy
Podziękowania: 33 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 21:46

Ja najbardziej obstawalbym przy wariancie z próbą sprzedaży całego konta lub wprowadzeniem przedmiotów z konta na inne poprzez rynek steam. A sprawdzić można rzucając im jakiegoś biednego alta z kilkoma grami i kilkoma pln w ekwipunku i sprawdzić co z tym zrobią. Osoby które straciły konta a potem je odzyskały mogą powiedzieć jakie rzeczy były z ich kontami robione.
Awatar użytkownika
Łowca
Posty: 42
Rejestracja: 3 sty 2020, o 18:07
Płeć: Mężczyzna
Podziękował: 37 razy
Podziękowania: 3 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 21:58

Ja to bym chciał żeby złodziejom zgodnie z tradycją łapy upier***ć, eh pomarzyć...
Awatar użytkownika
Łowca
Posty: 22
Rejestracja: 14 cze 2020, o 21:03
Podziękował: 3 razy
Podziękowania: 3 razy

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:04

Sprzedaż konta szybko bezpiecznie bez rozdrabniania się na drobne przedmioty.
Awatar użytkownika
Hitman
Posty: 792
Rejestracja: 29 kwie 2014, o 16:07
Płeć: Mężczyzna
Podziękował: 39 razy
Podziękowania: 61 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:11

Znajomy właśnie w taki sposób stracił na chwilę kontrolę nad swoim kontem. Co więcej sam prawie w to wpadłem, bo w sumie stary znajomy, w CSa gra, to od razu wydaje się to nieco bardziej wiarygodne - mało bym się nie zalogował, ale w ostatniej chwili odezwała się moja ostatnia szara komórka. Było to dość dawno, kilka miesięcy do tyłu, więc ten typ scamu zapewne dopiero raczkował. W sumie od tego czasu unikam jak mogę opcji ''zaloguj poprzez Steam'', zwłaszcza na niepewnych stronach. Aczkolwiek jestem ciekaw jak do takiego bezpieczeństwa mają sie np. strony z achievementami (np. astats), steamDB czy SteamGifts, czy logując sie na nich swoim kontem Steam tez narazamy się na jego utrate?
Awatar użytkownika
Predator
Posty: 539
Rejestracja: 17 kwie 2020, o 17:31
Płeć: Mężczyzna
Lokalizacja: Kraków
Discord: #8003
Podziękował: 15 razy
Podziękowania: 64 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:19

Jeżeli chodzi o logowanie się na innych stronach za pomocą steam, to korzystam tylko z steamgifts. Myślę że nie jest to niebezpieczne?
Awatar użytkownika
Robin Hood
Posty: 142
Rejestracja: 11 mar 2016, o 10:21
Płeć: Mężczyzna
Podziękowania: 25 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:21

A widzę, że jest jeszcze jedno (aczkolwiek małe) zagrożenie. Złodziej może też poznać wasz klucz API.
(https://steamcommunity.com/dev/apikey)
Snap008334.png
Snap008334.png (41.88 KiB) Przejrzano 1500 razy
Klucz API należy w takim wypadku unieważnić (wygenerować nowy).

Do czego on służy? Z tego co się doczytałem to pozwala identyfikować użytkownika nie wymagając podawania jego nazwy użytkownika i hasła (czyli logować was) na zewnętrznych serwisach.

Pozwala też pobierać różne dane o koncie (ale nie zarządzać nim - tylko pobierać dane o koncie).

Dla zaciekawionych tematem zostawiam linki (z dokumentacją i przykładami):
https://steamid.uk/steamidapi/
http://steamwebapi.azurewebsites.net/
https://developer.valvesoftware.com/wik ... 28v0001.29
Awatar użytkownika
Redaktor
Posty: 440
Rejestracja: 25 lip 2013, o 22:15
Płeć: Mężczyzna
Podziękował: 18 razy
Podziękowania: 25 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:26

Kamilovsky15 pisze:
12 sie 2020, o 22:19
Jeżeli chodzi o logowanie się na innych stronach za pomocą steam, to korzystam tylko z steamgifts. Myślę że nie jest to niebezpieczne?
Nie jest niebezpieczne, ale dla bezpieczeństwa zawsze warto najpierw bezpośrednio logować się na Steam podając dane, a potem na daną stronę, jeśli będzie okienko Steam "zaloguj się jako <Twoja nazwa>" to strona jest legit, bo uzyska tylko publiczne dane Twojego konta. Jeśli będzie chciała login i hasło konta, mimo uprzedniego zalogowania się na Steam, tutaj powinna zapalić się czerwona lampka i podejrzenie scamu
Awatar użytkownika
Predator
Posty: 595
Rejestracja: 6 kwie 2017, o 17:09
Płeć: Mężczyzna
Podziękował: 15 razy
Podziękowania: 34 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:30

Natan pisze:
12 sie 2020, o 22:11
W sumie od tego czasu unikam jak mogę opcji ''zaloguj poprzez Steam'', zwłaszcza na niepewnych stronach. Aczkolwiek jestem ciekaw jak do takiego bezpieczeństwa mają sie np. strony z achievementami (np. astats), steamDB czy SteamGifts, czy logując sie na nich swoim kontem Steam tez narazamy się na jego utrate?
W sumie zasada jest bardzo prosta - podczas codziennego korzystania ze steama/netu nigdy, ale to nigdy nie loguj się wklepując swojego usera/hasło.

Jeśli się kiedyś jakoś wylogujesz ze steama, wtedy ŚWIADOMIE wchodzisz na stronę główną steama, logujesz się TAM ponownie i znów patrz punkt wyżej.
Awatar użytkownika
Wiedźmin
Posty: 1830
Rejestracja: 17 paź 2016, o 14:29
Płeć: Mężczyzna
Podziękował: 12 razy
Podziękowania: 78 razy

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:34

Jak ktoś ma tam dane podane i zapamiętane (a wielu ma), to wiadomo, do czego takie konto może się przydać.
Zapamiętana karta czy ajtemki albo hajs w portfelu steam to też są jakieś opcje.
Awatar użytkownika
Łowca
Posty: 80
Rejestracja: 28 kwie 2015, o 05:10
Płeć: Mężczyzna
Podziękował: 12 razy
Podziękowania: 9 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

12 sie 2020, o 22:40

Kradzione konta sprzedją i to jak najszybciej + jak wspomniano wyżej, liczą na zapamiętane dane do płatności.
Znajomy odpiął token bo zmieniał telefon, ogólnie miał trochę spraw, które zajęły mu coś około tygonia nim ogarnął się na tyle, że dał znać abym szykowa się na wieczór bo gramy.
Oczywiście nie zagraliśmy bo jak się okazało nie mógł się zalogować na swoje konto a adres @ był zmieniony na typowo rosyjski.
Konto udało się odzyskać (zmian w zawartości nie zauważono) za to za pare dni odezwał się z pretensjami jakiś rosjanin, który twierdził, że kupił to konto gdzieś na aukcji i żądał zwrotu konta :). Oczywiście został poinformowany, że kupił kradzione konto i niech pretensje skieruje do sprzedawcy.

..:: PzD ::..
Awatar użytkownika
Moderator
Posty: 958
Rejestracja: 1 wrz 2013, o 19:09
Płeć: Mężczyzna
Podziękował: 357 razy
Podziękowania: 77 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

13 sie 2020, o 01:26

Temat nie jest aż tak nowy, był już kilka razy poruszany w wątku o steam. Pierwszy raz bodaj w połowie czerwca napisało o tym SK4ND4L
viewtopic.php?f=4&t=4&p=425545#p425545
Wedle mojej wiedzy konta kradną dla jednego z 3 powodów:
- bo mogą (kompleksy, fun, potrzeba poklasku itp)
- bo chcą pozyskać przypisane dane kart, czy pp
- najrzadziej na sprzedaż (bo takie konto z 0,5-1k gier nie jest łatwo super szybko sprzedać i to jeszcze na stronie która nie weryfikuje danych. Zapewne takie konto 9/10 ludzi odzyska w przeciągu max tyg).
Kilka rzeczy jest pewne. Haker osobiście pisze do wielu osób jednocześnie, raz po naszemu, raz po ang, a widziałem screeny po rusku i w krzaczkach. Ma sporą kontrole nad kontem, może wywalić ze znajomych (co akurat mnie spotkało). Co jest w sumie ciekawe bo w tych przypadkach jakie znam ze swoich znajomych dane nie zostały zmienione,.Właściciel używał konta, wyłączał kompa np idąc na żarełko, logował się haker, rozsyłał spam i po godzinie właściciel wracał i nawet nie wiedział że ktoś coś robi z jego konta. Jest też teoria że ten problem jest wewnątrz steam, bo wiele osób pisze że miało 2-fazową weryfikacje aktywną, więc nikt nie powinien wejść na ich konto.
To co sam zauważyłem to za każdym razem, a próbowano na mnie tego bodaj 8 razy zawsze takie konto ma zablokowane komentarze.
Na koniec personalnie do autora wątku. HAKIMODO uważam ze powinieneś trochę rozeznania zrobić przed napisaniem tego tematu,. No i sam też pisząc o tym w wątku o steam napisałem że strony wymagające logowania są podejrzane i Armin mnie ładnie zgasił podając jako przykład Gog Galaxy który (nie wiem czy nadal) wymagał zalogowania się podając login, hasło i guarda steamowego :)
Awatar użytkownika
Hitman
Posty: 1032
Rejestracja: 1 gru 2015, o 07:31
Płeć: Mężczyzna
Lokalizacja: Kraków
Podziękował: 48 razy
Podziękowania: 51 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

13 sie 2020, o 02:31

2020, a ludzie dalej dają się scamować logując na scamowych stronach...
Awatar użytkownika
Robin Hood
Posty: 142
Rejestracja: 11 mar 2016, o 10:21
Płeć: Mężczyzna
Podziękowania: 25 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

13 sie 2020, o 08:51

Furrak pisze:
13 sie 2020, o 01:26
Na koniec personalnie do autora wątku. HAKIMODO uważam ze powinieneś trochę rozeznania zrobić przed napisaniem tego tematu,.
A możesz wyjaśnić o co ci konretnie chodzi, bo nie rozumiem? Jakie dokładnie rozeznanie powinienem zrobić?
Awatar użytkownika
Predator
Posty: 402
Rejestracja: 13 lut 2018, o 08:45
Płeć: Mężczyzna
Podziękował: 58 razy
Podziękowania: 33 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

13 sie 2020, o 09:09

Furrak pisze:
13 sie 2020, o 01:26
Temat nie jest aż tak nowy, był już kilka razy poruszany w wątku o steam. Pierwszy raz bodaj w połowie czerwca napisało o tym SK4ND4L
viewtopic.php?f=4&t=4&p=425545#p425545
Ten sposób scam istnieje już dość długo sam takie prośby dostawałem od randomów chyba z rok, a na pewno kilka miesięcy temu. Masz rację że już pojawiał się kilka razy na forum lecz niektórym mogło to umknąć a tutaj mają piękny "clickbaitowy" tytuł, który przyciągnie osoby i może choć jedna się nie nabierze to będzie sukces. Więc uważam, że można mu wybaczyć powtórzenie tematu i tytuł wątku, bo działa w dobrej wierze.
Awatar użytkownika
Robin Hood
Posty: 142
Rejestracja: 11 mar 2016, o 10:21
Płeć: Mężczyzna
Podziękowania: 25 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

13 sie 2020, o 10:07

Ja ten problem też raportowałem (w formie ostrzeżenia) jakieś dwa lata temu (film datowany jest na 24 lipca 2018) gdy zaczął się pojawiać. Jak widać, to nadal działa, choć Steam zdążył w międzyczasie wprowadzić nieco zabezpieczeń.

PS. Teraz chyba w aplikacji mobilnej klikając na link jest jeszcze dodatkowa informacja wyświetlana, żeby uważać i nie podawać haseł. Ale czasami gdy "prosi kolega" można tego nie zauważyć albo po prostu zignorować z tego powodu.

https://www.youtube.com/watch?v=ZAFqICPbDwE
2020-08-13_100502.png
2020-08-13_100502.png (45.6 KiB) Przejrzano 898 razy
Awatar użytkownika
Predator
Posty: 595
Rejestracja: 6 kwie 2017, o 17:09
Płeć: Mężczyzna
Podziękował: 15 razy
Podziękowania: 34 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

13 sie 2020, o 11:14

Furrak pisze:
13 sie 2020, o 01:26
No i sam też pisząc o tym w wątku o steam napisałem że strony wymagające logowania są podejrzane i Armin mnie ładnie zgasił podając jako przykład Gog Galaxy który (nie wiem czy nadal) wymagał zalogowania się podając login, hasło i guarda steamowego :)
Wow :o To teraz ja się czuję zgaszony...
Awatar użytkownika
Łowca
Posty: 4
Rejestracja: 8 mar 2020, o 14:15
Płeć: Mężczyzna
Podziękował: 13 razy
Podziękowania: 6 razy
Kontakt:

Re: Nowy sposób na kradzież kont Steam? Zagłosuj na moją drużynę!

13 sie 2020, o 11:27

A logowanie do geforce now jest bezpieczne? Bo kiedyś kliknołem zapamiętaj mnie (na steam) a wcale nie zapamiętywały się hasła na mym koncie gf now.chyba że zapisało się na tym urządzeniu na którym uruchamiano te gry.
ODPOWIEDZ