В последние годы виртуальные предметы в играх перестали быть просто «косметикой» — они превратились в полноценные цифровые активы. На платформе Steam, объединяющей миллионы геймеров по всему миру, внутриигровые скины могут стоить сотни, а иногда и тысячи долларов. Это делает аккаунты Steam привлекательной мишенью для киберпреступников.

К сожалению, многие пользователи до сих пор недооценивают риски, связанные с переходом по подозрительным ссылкам или общением с незнакомцами. В этой статье разберём, как именно угоняют аккаунты, на чём строятся фишинговые схемы и как защитить себя, даже если вы уже получили «уникальное предложение» от «модератора ста» или «дизайнера скинов».

Что такое скины и почему за ними охотятся

Скины — это косметические предметы, изменяющие внешний вид оружия, персонажей или других элементов в играх. Они не дают игрового преимущества, но обладают высокой коллекционной и рыночной ценностью. Благодаря торговой площадке Steam, игроки могут свободно покупать, продавать и обмениваться скинами, превращая виртуальные предметы в реальные деньги. Именно эта возможность и привлекает мошенников. Если в вашем инвентаре есть редкие или дорогие скины, то вы уже в зоне риска.

Социальная инженерия: как обмануть даже бдительного пользователя

Злоумышленники редко ломают системы — они обходят защиту через человека. Процесс начинается с наблюдения: через публичный инвентарь мошенник оценивает ценность аккаунта. Затем следует личное сообщение с заманчивым предложением. Вот типичные фразы, которые вы можете увидеть:

«Привет! Я модератор сайта с кейсами — давай я буду подкручивать выигрыш, а деньги делим пополам.»

«Я дизайнер скинов, проголосуй за мой скин на этом сайте — взамен дам тебе Имортала!»

В сообщении обязательно присутствует ссылка на сторонний ресурс — якобы «сайт голосования», «казино с кейсами» или «партнёрская площадка». При переходе из клиента Steam появляется предупреждение: «Вы покидаете Steam. Это сторонний сайт, не связанный с Valve». Но многие пользователи игнорируют это уведомление, особенно если «предложение» выглядит правдоподобно или приходит от «друга». Именно на этом и строится вся схема социальной инженерии — жертва добровольно вводит свои данные, даже не подозревая, что уже передала доступ к своему аккаунту мошенникам.

Как работает фишинг: не всё так, как кажется

Многие думают, что фишинг в этой схеме — это копия официального сайта Steam. На деле всё хитрее. Злоумышленники создают собственные сайты с оригинальным дизайном: рулетки, голосования, аукционы.

 В ряде случаев, при использовании аутентификации через Steam, уязвимость может находиться не в поддельной форме входа, а в логике работы стороннего сервиса, реализующего данный механизм. В частности, проблема может заключаться в небезопасной обработке параметров перенаправления после успешной аутентификации пользователя.

В рассматриваемой схеме сторонний сервис использовал промежуточный endpoint для аутентификации через Steam, принимая URL возврата в параметрах запроса. После перехода по ссылке пользователь перенаправлялся на официальный домен Steam и проходил стандартную процедуру входа, не вызывающую подозрений. Однако после успешной авторизации сервис выполнял возврат пользователя на адрес, указанный во входных параметрах, не осуществляя проверку допустимых доменов.

Ключевым моментом являлось то, что после получения OpenID-ответа от Steam сервис создавал внутренний токен, при помощи которого, в том числе, осуществляется идентификация пользователя. Данный токен добавлялся к URL в процессе финального перенаправления. Поскольку значение адреса назначения полностью контролировалось через параметр запроса, токен мог быть передан на произвольный внешний ресурс.

Таким образом, при подстановке стороннего URL злоумышленник получал возможность зафиксировать значение токена без необходимости взаимодействия с пользователем и без доступа к его учётным данным Steam. Структура токена указывала на использование в качестве основного идентификатора сессии и средства авторизации при обращении к внутренним API сервиса.

Дальнейший анализ показал, что полученный токен принимался серверной частью сервиса как валидный при выполнении API-запросов, предоставляющих доступ к информации, связанной с учётной записью пользователя, включая данные профиля и историю операций. Более того, подмена токена в процессе аутентификации позволяла выполнить вход в систему от имени другого пользователя.

Дополнительную опасность представляло отсутствие ограничений срока действия токена – уязвимость Insufficient Session Expiration. Даже спустя продолжительное время после его получения сервис продолжал принимать данный токен как действительный, что свидетельствовало об отсутствии механизма его истечения или отзыва. Это существенно увеличивало риск длительного несанкционированного доступа.

В совокупности описанная уязвимость возникала из-за сочетания нескольких факторов: отсутствия валидации параметров перенаправления, передачи токена через URL, использования токена в качестве единственного идентификатора аутентификации и отсутствия ограничения его срока действия. При этом пользователь на всех этапах взаимодействовал исключительно с легитимной страницей Steam и проходил стандартный процесс входа, что делало атаку практически незаметной.

Рекомендации по безопасности

  • Всегда внимательно проверяйте URL страницы перед вводом данных. Официальный вход в Steam происходит через домен steamcommunity.com. Если адрес выглядит подозрительно или содержит странные символы — не продолжайте.

  • Обращайте внимание на внешний вид и работоспособность сайта. Поддельные фишинговые страницы часто выглядят небрежно, содержат ошибки, медленно работают или загружаются с перебоями.

  • Используйте сервисы WHOIS для проверки возраста домена и данных о владельце. Большинство фишинговых страниц созданы «вчера», а информация о владельце скрыта или отсутствует.

  • Не переходите по ссылкам из непроверенных сообщений, особенно если обещают бесплатные скины, «подкрутку выигрышей» или другие подозрительно выгодные предложения.

  • Обращайте внимание на предупреждения Steam при переходе на сторонние сайты — это сигнал, что вы покидаете защищённую площадку Valve.

  • Активируйте двухфакторную аутентификацию (Steam Guard) и никогда не передавайте код подтверждения посторонним.

  • Регулярно меняйте пароль и используйте сложные уникальные комбинации.

  • Закройте возможность писать вам в личные сообщения от незнакомых пользователей. Это можно сделать в настройках приватности Steam, ограничив общение только друзьями или полностью отключив входящие от неизвестных.

  • Скройте свой инвентарь, это снижает риск, что мошенники будут использовать информацию о ваших предметах для выманивания данных или попыток обмена.

Возможно, вы или ваши друзья уже становились жертвами мошенничества в Steam? Делитесь историями в комментариях!

Автор: Станислав Янчев, аналитик сервиса проактивного мониторинга внешних цифровых угроз Jet CSIRT, «Инфосистемы Джет».