Nenechte se na Steamu okrást

Krádeže na herní platformě Steam jsou čím dál častější. Nepomáhá ani roky se táhnoucí osvěta všech věkových kategorií, aby si i internetovém prostředí dávali pozor na to co kde píší či na co klikají. Steam se již roky snaží co možná nejvíce zabezpečit svoji platformu, ale ve výsledku vždy dojede na lidskou hloupost. Nejvíce to komplikuje market place, který se uživatelé hlavně kvůli nemožnosti vytáhnutí peněz mimo Steam všemožně obcházet. Za toto chování Steam nemůže a ani nenese žádnou zodpovědnost. Pojďme se spolu tedy podívat jak se to může stát:

Podvodné odkazy

Tato technika podvodu se odporněji nazývá phishing a je stará jako internet sám. Funguje na stejném principu jako rybaření. Útočník podstrčí návnadu a čeká jestli se chytíte. Touto návnadou může být odkaz se stažitelným souborem či podvržená webová stránka.

U této formy útoku je důležité dávat pozor na to, kam vás kdo odkazuje. Nestahovat a už vůbec nespouštět žádné spustitelné (např. *.exe) soubory. Může se stát že odkazovaná stránka vyvolá automatické spuštění scriptu či skrytou instalaci doplňku do prohlížeče. Pokud odkazovanou stránku znáte, raději vypište její adresu do adresního řádku ručně. Pokud ne, zkuste si o ní nejlépe dříve něco zjistit.

Velmi často se objevuje i odkaz na inventář v popisu profilu, kdy tento odkaz vede do inventáře úplně jiné osoby.

Rychlá výměna

Neboli Quickswitching je takový trenažér pozornosti. I když dodržíte všechny pravidla bezpečnosti. Tedy že obchodujete skrze Steam klient, pomocí klasického trade, tak se může stát, že nakonec vyjdete z tohohle obchodu jako oběť podvodu.

Probíhá to většinou tak, že protistrana velmi pospíchá - nejčastěji proto, že to neodolatelná nabídka a má mnoho dalších zájemců. Předmět si necháte zobrazit v jeho inventáři či ve hře (nebo pouze pošle screen). Při obchodu jako takovém přehodí předmět za jiný - podobně vypadající, z jiné hry, s jiným stupněm opotřebení, bez nálepek, atd - ale v jiné hodnotě. Vždy tedy před potvrzením obchodu důkladně kontrolujte co, za co vyměňujete!

Bait and Switch

Tohoto podvodu se nejčastěji účastní 2 lidé. Vystaví nabídku (na trade portálu) či kontaktují oběť přímo a předstírají, že o sobě vzájemně nevědí. První poptává koupi určitého předmětu (nejčastěji drahého) a nabízí za něj větší sumu, než za kterou se předmět aktuálně prodává. Druhý nabízí ten samý předmět k prodeji za podstatně nižší cenu než první nabízí, ale stále vyšší než za kolik se předmět aktuálně prodává. Oba účastníci doufají, že oběť si bude chtít rychle přivydělat zdánlivě výhodným nákupem a následným prodejem za vyšší cenu. Poté co oběť koupí předražený předmět, druhý obchodník stáhne svoji výhodnou poptávku a oběti tak zbývá pouze draze nakoupený předmět.

U tohoto procesu může jít o nákup/prodej i o výměnu in-game předmětů. Aby to nebylo tak okaté, tak mnohdy probíhá v delším časovém horizontu (den až dva).

Půjčování

Tohle je snad to nejtrapnější co se může stát. Útočník vás požádá o propůjčení předmětu na krátkou dobu. Například proto, aby si prohlédl jak vypadá ve hře nebo aby zjistil jestli předmět “není klonovaný”. Útočník může být “kamarád” nebo jen osoba se kterou jste několikrát hráli. V několika případech se jednalo i o jakési zhodnocení předmětu v sázení. Pravda je taková, že pokud si druhou stranou nejste stoprocentně jistý, tak předmět nepůjčujte, protože jakmile je jednou legitimně odeslaný, není váš!

Obchodování mimo Steam

Bohužel nejčastější forma podvodu. Útočník nabídne ke koupi něco, co nelze měnit klasickým trade (herní účet, hotovost, aktivační klíče, PaySafeCard). Bude žádat odeslání předmětu a přislíbí následnou platbu či zaslání kódu. Jakmile bude předmět odeslán, tak oběť blokují. Je třeba si dávat pozor i na velmi nesmyslné odesílání PSC kódu po částech, protože tak i tak si útočník může PaySafeCard kód úplně vymyslet nebo podstrčit (část) již vyčerpaný. Útočník může tuto metodu kombinovat s phishigem (zasílání různých důkazů) či vydáváním se za legitimního obchodníka či midlemana. I s legitimním obchodníkem se můžete stát obětí podvodu, takže je nutno věnovat více pozornosti než jen prohlédnutí Steam profilu či SteamRep.

Je naprosto nesmyslné spoléhat se na nějaké “+rep” na Steam profilu či recenze na Facebookové stránce, protože ty se dají uměle generovat či získávat výměnou (+rep za +rep). A hlavně, ty záporné si může útočník jak na profilu, tak na FB stránce bez problémů promazat.

Krádeže mimo Steam podpora nechce a ani nemůže řešit, protože z jejich úhlu pohledu jste předmět jednoduše darovali!  Co vám kdo nasliboval je bezpředmětné.

Záměna prostředníka

Neboli Middleman Injection je v Česku velmi populární (Sw33zy by mohl vyprávět). po smluveném obchodu, který se částečně odehrává mimo Steam se obě strany dohodnou na důvěryhodném prostředníkovi. Tato osoba je veřejně známá a je známa i oběma obchodujícím stranám. Útočník zašle profil daného prostředníka s tím rozdílem, že se jedná o úplně jinou osobu. Účet má např zkopírované popisy, avatar, screenshoty či je nastaven jako soukromý. Tomuto lze jednoduše předejít tak, že si i důvěryhodného prostředníka proklepnete skrze SteamRep, kde se zaměříte hlavně na adresu profilu ve formátu SteamID64, která je jediným unikátním identifikátorem Steamového profilu (nelze měnit). Lze si tak proklepnout jakýkoliv účet skrze stránku STEAMID I/O. Důvěryhodní prostředníci z pravidla nemají žádné smurf accounty ani jejich profily nejsou soukromé.

Zajímavostí je, že ať si hodíte jakoukoliv veřejně známou osobu do google (Sw33zy, restt, Mazarini, atd.) vždy na první příčce vyskočí oficiální profil - což není fakt a nelze na to spoléhat, je to spíše taková zajímavost.

Znovunabytí prostředků

Neboli chargebacks jsou velmi oblíbeným podvodem především v zahraničí. Mezinárodní platební brány jako jsou např. PayPal, GoPay či Skrill nabízí možnost vrácení peněz neboli refund. Tato možnost existuje proto, že tyto platební brány byli navrženy pro nákup (PayPal patří k eBay) fyzického zboží a navrácení zaslaných peněz tak chrání zákazníka před platbou za nefunkční, rozbité či žádné zboží.

Podvodník provede za váš předmět legitimní platbu, která se ihned projeví na vašem nebankovním účtě a klidně i několik dní poté požádá o zrušení transakce. V tomto případě po vás bude platební brána vyžadovat chybějící částku. Můžete proti takovému jednání vznést protest, ale nemáte jak dokázat, že jste předmět odeslali, či protistrana předmět obdržela. O tomto jednání by naopak mohli vyprávět naši streameři, kteří se v minulosti potýkali s refundem darů.

Gambling

Vzhledem k tomu, že vše co se kolem sázení in-game předmětů odehrává je na hraně zákona a většina sázecích portálů byla prachsprostý podvod na hráče, tak se mi zde nechce ani nic rozepisovat. Pokud po této kauze ještě někam nahráváte své předměty, tak se můžete předem smířit s tím, že o ně můžete bez náhrady přijít.

Převod peněz na Steam

Podvodníci se snaží oběť přesvědčit o tom, že po provedení obchodu se peníze přičtou přímo do jejich peněženky. To se opírá o neznalost oběti.

• Peníze v rámci Steamu posílat nelze.
• Lze je pouze nabít a to třemi způsoby:
  • Kreditní kartou
  • Platební bránou
  • Steam Vallet kupónem
• Peníze z obchodu skrze Steam Market.

Těmito způsoby můžete nabýt peníze pouze na svůj vlastní účet, tudíž jakékoliv důkazy o takovémto nabytí další osobou jsou podvod!

Ověření pravosti předmětu

Zde vás útočník požádá o zaslání předmětu libovolnému kamarádovi z vašeho friendlistu, aby si ho prohlédl v jeho inventáři se zdůvodněním “jestli není předmět blokovaný” (popř. “klonovaný”). Poté se vás pokusí nasměrovat na falešný profil vašeho známého nebo napodobí váš vlastní profil a pokusí se předmět od kamaráda vylákat zpět. Něco jako klonované předměty neexistuje a blokovat transakci lze pouze Trade banem, který je jasně viditelný na profilové stránce dotyčného.

Ať vás o takové úkony někdo požádá z jakéhokoliv důvodu, jedná se vždy o podvod.

Falešná cena

Neboli Glimmer Drop je velmi častá praktika, kde útočník nabízí předmět s nejasnou cenou za předmět s opravdu vysokou cenou. Velmi často realizované tak, že útočník nabídne např. skin do hry Dota 2, který má sice opravdu vysokou cenu, ale za tuto cenu je neprodejný, za skin do CSGO ve stejné hodnotě. Děje se tak hlavně proto, že mnoho předmětů ve hře Dota 2 je unikátních (např. podepsaných) a za vysoké ceny se např. prodá pouze jeden jediný kus. Univerzální rada zní: “Pokud se v tom nevyznáte nepřijímejte to!”.  Zde vám totiž nepomůže ani Steam Inventory Helper.

Fake bot

Tento podvod může být čistě náhodný i cílený. Pokud jste vědomě někam v danou chvíli nahrávali předmět (OPskins, BitSkins), tak nezapomeňte zkontrolovat ověřovací kód, který musí souhlasit se zdrojem. Pokud vás bot náhodně kontaktuje s treadeoffer nabídkou či vás o odeslání předmětu botovi někdo bude navádět, tak nereagujte.

České speciality

Na závěr něco z českých luhů a hájů:

• Kontaktuje vás osoba s tím, že je vlastníkem gambling či trade stránky (!!! už zde by jste měli zavírat chatovací okno) a bude vám nabízet, že např. promění jeden váš drahý předmět za několik v menší hodnotě s velkým ziskem. Bude vás přesvědčovat, že daná stránka končí a tak předměty rozdávají či podobné bludy. Nevěřte jim! - vlastník stránky má vždy plný přístup ke svým botům (viz screen u sekce gambling) a tedy si může vzít jakýkoliv předmět kdy se mu zamane a určitě by vás k tomu nepotřeboval.
• Kontaktuje vás osoba s tím, že je nějakým správcem valve anti-cheat uzavřené skupiny a vy jste byl nahlášen např. za použití achievment unlockeru. Pokud nezaplatíte ve skinech, tak bude váš profil zablokován VAC. To je kolosální kravina hned z několika důvodů:
  • Valve Anti-chat system je automatizovaný
  • Nemá žádné své správce ani skupiny a už vůbec nepíšou jako 13 ti leté děti
  • Report za cheating skrze webový profil či steam klient nefunguje (viz reddit) - link doplním.
  • VAC neovlivňuje počet reportů viz support
• Někdo vás kontaktuje s tím, že když mu dáte přístup do svého počítače skrze SW TeamViewer, tak vám po uskutečnění obchodu dobije peníze přímo na steam. To snad ani nepotřebuje komentář….

CSGO funny.scam

Zde jsou další případy (včetně SteamID64 profilů)