Os usuários eram atraídos para sites fraudulentos, clones perfeitos de plataformas legítimas de troca de skins. Ao tentarem fazer login com suas credenciais da Steam, a chave API do usuário era clonada, dando ao golpista controle total sobre as transações.
O golpista vigiava continuamente as trocas do usuário até identificar uma oferta que envolvia um item de alto valor.
Ao identificar a oferta valiosa, o golpista adaptava um de seus perfis na Steam para se assemelhar ao destinatário legítimo da troca, copiando nome e foto. Utilizando a chave API clonada, então cancelava a oferta de troca original.
De forma rápida, uma nova oferta de troca era feita a partir do perfil falso, ofertando o mesmo item ao usuário.
A vítima, ao perceber dificuldades para confirmar a troca via autenticador móvel, verificava suas trocas e descobria que precisava “aceitar” a oferta novamente. Sem perceber o engano, confirmava a troca falsa, enviando o item de valor diretamente para o golpista.
Todo o processo era altamente automatizado, permitindo que a ação ocorresse em segundos. A vítima mal tinha tempo de perceber a fraude antes de ser tarde demais.
A Steam criou um alerta no aplicativo para celular que avisa quando uma troca pelo mesmo item foi cancelada recentemente. Se você ver esse aviso, Execute o Passo 4 – Recuperando a Segurança da Conta!
A Steam vem turbinando sua segurança de um jeito que, olha só, cancelar uma troca com a chave API virou missão impossível (tem mais detalhes sobre essa atualização aqui). Mas, sabe como é, os golpistas não dormem no ponto e já mudaram de estratégia: agora o negócio deles é o phishing, que nada mais é do que uma forma espertinha de te fazer entregar sua senha sem perceber. Vamos entender esse novo jogo:
Esse esquema de golpe é absurdamente eficiente e age num piscar de olhos, aproveitando o breve momento entre a criação da sua oferta legítima e a hora em que você usa o Steam Guard para confirmá-la. Ou seja, se você notar uma troca cancelada do nada, é sinal de que os golpistas estão dentro da sua conta, logados e aprontando todas.
Os golpistas são mestres do disfarce. Eles podem criar páginas que parecem idênticas à página de login da Steam, mas com um pequeno detalhe diferente: o URL. Antes de digitar suas informações, dê uma olhada na barra de endereços. Se não for “https://steamcommunity.com” e algo como “steamcommunilty” ou algo semelhante, é um sinal claro de que você está prestes a cair num golpe. Sempre verifique duas vezes o URL antes de inserir seus dados.
Digamos que você está navegando por um site se passando pela NeshaStore, clica para fazer login e, de repente, aparece uma solicitação para entrar com a conta da Steam. Aqui vai um alerta importante: na Nesha, você nunca é pedido para fazer login através da Steam diretamente na plataforma. Além disso, se você prestar atenção, provavelmente vai perceber que a URL na barra de endereços ainda mostra o endereço do site falso, algo como “https://neshastore.store”, enquanto a suposta página de login da Steam aparece na tela. Esse é um sinal vermelho de alerta, pois a URL autêntica da Steam não está sendo exibida como deveria.
Imagine só: você acabou de adicionar alguém na Steam, talvez pensando em trocar algumas skins ou apenas expandir seu círculo de amigos no jogo. De repente, essa nova adição manda uma mensagem, seja num inglês meio torto ou num português que deixa a desejar, com uma proposta que parece cair do céu. “Você ganhou um item exclusivo no site X Y Z! Basta fazer login para resgatar!” Soa familiar?
Agora, vamos ser honestos, quem não gostaria de ganhar itens grátis, especialmente se for algo raro ou de valor? Mas aqui está o alerta: essas mensagens inesperadas são o campo de jogo favorito dos golpistas. Eles sabem que a promessa de recompensas fáceis pode ofuscar o bom senso de qualquer um por um momento.
Essas propostas, que surgem como se fossem um presente dos deuses dos jogos, na verdade, escondem armadilhas bem elaboradas. Os golpistas utilizam a engenharia social, uma arte de manipulação, para fazer você acreditar que está a apenas um clique de ganhar algo incrível. No entanto, esse clique pode custar muito caro, comprometendo sua conta, suas skins valiosas, ou até mesmo informações pessoais.
Conhecimento Prévio:
Esteja ciente de que a todos os serviços legítimos que interagem com a Steam não requerem que você faça login repetidamente, especialmente se você já estiver logado na Steam pelo navegador.
Como Funciona o Golpe:
Você recebe ou clica em um link, e ao primeiro olhar parece legítimo, no entanto, este link, leva a um site projetado para se parecer com uma página oficial da Steam, mas não é.
Acesso Prévio: Antes de interagir com qualquer serviço que solicite login da Steam, abra uma nova guia no navegador e acesse diretamente o site oficial da Steam (https://steamcommunity.com) e faça login lá.
Manutenção da Sessão: Uma vez logado diretamente no site oficial da Steam, sua sessão fica ativa. Sites legítimos reconhecerão essa sessão ativa e NÃO pedirão que você faça login novamente.
O Básico sobre a API do Steam: A API (Interface de Programação de Aplicativos) do Steam é um conjunto de funções que desenvolvedores e sites podem usar para acessar dados do Steam e interagir com a plataforma de maneiras específicas, tudo isso de forma automatizada. Isso inclui, mas não se limita a, gerenciar amigos, inventário, e ofertas de troca.
Como Acessar Sua Chave de API: Sua chave de API está localizada em uma página específica dentro do ambiente de desenvolvedor do Steam. Você pode encontrá-la acessando https://steamcommunity.com/dev/apikey. Lembre-se, é permitido ter apenas uma chave de API ativa por vez.
Confirmação de Criação: Ao criar uma nova chave de API, uma etapa de segurança adicional requer que você confirme a solicitação através do seu autenticador móvel Steam Guard. Isso é feito para garantir que apenas o proprietário legítimo da conta possa criar uma chave de API.
Fique Atento às Notificações: Se, a qualquer momento, você receber uma notificação no seu autenticador móvel Steam Guard solicitando a criação de uma chave de API de desenvolvedor sem sua iniciativa, isso é um grande alerta vermelho.
Ação Imediata: Negue imediatamente a solicitação através do autenticador e considere isso como um sinal de que sua conta pode estar comprometida. É crucial seguir o Passo 4 para proteger sua conta imediatamente.
Uso da Chave API
Para cada conta que deseja usar a API do Steam, é gerada uma “chave da API” única. Essa chave funciona como uma senha, permitindo que o usuário ou aplicativo autorizado faça solicitações em nome da conta.
Segurança da Chave API
A chave da API é um elemento crítico de segurança. Ela deve ser mantida em sigilo, pois, nas mãos erradas, pode ser usada para manipular informações da conta ou executar ações sem o conhecimento do proprietário da conta.
Em Caso de Exposição
Se, por acaso, você compartilhou sua chave API ou suspeita que ela possa ter sido comprometida, é vital revogá-la imediatamente acessando a página de gerenciamento da API do Steam. Revogar a chave API corta instantaneamente o acesso não autorizado à sua conta através dessa chave.
O Papel da API nos Golpes
Mito do Golpe da API: Enquanto alguns golpes antigos dependiam da obtenção da chave API para manipular ofertas de troca, a realidade é que os golpistas evoluíram. Agora, se eles conseguirem acesso à sua conta (seja por meio de phishing, malware, ou qualquer outra técnica), podem executar ações prejudiciais sem necessariamente precisar da sua chave API.
Automatização de Ações Maliciosas
Um golpista com acesso ao seu computador ou conta Steam pode automatizar ações maliciosas sem o uso da API. Isso inclui criar ofertas de troca fraudulentas, enviar mensagens ou alterar configurações da sua conta.
Imagina que você tem uma skin valiosa no CS2 e decide vendê-la na Nesha para receber dinheiro via Pix. Essa transação, embora promissora, também pode ser uma porta para golpistas se não forem tomados os devidos cuidados.
O golpista, agora com a chave API em mãos, tem total capacidade de criar e cancelar ofertas de troca. Este poder é usado para redirecionar suas trocas legítimas para contas fraudulentas que espelham perfeitamente o perfil do seu trader pretendido sem milésimos de segundos. Especialmente com a versão mais recente do app Steam que não mostra a data de registro do usuário, este tipo de fraude se torna mais difícil de detectar.
Qualquer oferta de troca feita por você pode ser interceptada e desviada para uma conta impostora que se parece exatamente com a do usuário legítimo com quem você desejava negociar.
Ação: Adicione o usuário com quem você pretende negociar no Steam antes de qualquer oferta de troca.
Por quê? Isso adiciona um ícone de “amigo” na confirmação de troca, servindo como uma camada adicional de verificação.
Ação: Confirme se o nível do Steam e o emblema na confirmação da troca são idênticos aos do perfil do trader pretendido.
Importância: Isso é crucial para assegurar que você não está sendo redirecionado para um impostor.
Ação: Nunca envie uma oferta de troca vazia. Adicione um item de baixo valor, como um adesivo de 3 centavos, do lado do comerciante pretendido.
Por quê? Isso assegura que, na confirmação da troca, se os itens do “comerciante pretendido” estiverem vazios, é um indicativo de que sua conta pode estar comprometida.
Ação: Antes de confirmar a troca no aplicativo móvel, verifique suas ofertas de troca enviadas no Steam.
Por quê? Se houver uma oferta ativa e uma cancelada que são idênticas, isso pode indicar um comprometimento da sua conta.
Ação: Clique no ícone do usuário na oferta de troca para acessar diretamente seu perfil. Verifique a data de criação da conta colocando o URL do Steam em steamid.uk.
Por quê? A maioria dos bots de golpes possuem URLs no formato ‘/profiles/XXXX’, ao contrário de URLs personalizadas ‘/id/XXXX’.
Se você se encontra na infeliz situação de ter sua conta Steam comprometida, é crucial agir de forma rápida e ordenada. A sequência das ações é tão importante quanto as ações em si, especialmente quando se trata de proteger sua conta contra golpistas que estão sempre à espreita para explorar qualquer oportunidade.
Aqui está o que você precisa fazer, exatamente nesta ordem:
A primeira linha de defesa é a sua senha. Uma mudança aqui é como trocar a fechadura da porta da sua casa depois de perder a chave. Você pode fazer isso diretamente pelo programa da Steam no seu PC, clique em “Steam” na barra superior, vá até “Configurações”, selecione “Segurança” e clique em “Alterar Senha”. Se preferir fazer pelo navegador, acesse diretamente: https://store.steampowered.com/account/.
Procure pela seção “Segurança da Conta” e clique em “Alterar senha”. Escolha uma senha forte e única que você não usa em nenhum outro lugar.
Em seguida, é hora de garantir que ninguém mais, exceto você, possa acessar sua conta. Ao desautorizar todos os dispositivos, você força qualquer pessoa que esteja logada em sua conta a fazer login novamente, mas agora com a nova senha. Pelo programa da Steam no seu PC, clique em “Steam”na barra superior, vá até “Configurações”, Selecione “Segurança”e clique em “Desautorizar dispositivos”.
Ou se preferir, também pode fazer isso pelo navegador, acessando:
https://store.steampowered.com/twofactor/manage e clicando em “Desautorizar todos os dispositivos”.
Agora, e somente agora, após mudar sua senha e desautorizar todos os dispositivos, você deve revogar sua chave API. Se você fizer isso antes de mudar a senha e desautorizar os dispositivos, o golpista poderá simplesmente criar uma nova chave API sem que nem perceba. Para apagar sua Chave API acesse:
https://steamcommunity.com/dev/apikey
Na página, clique em “Revogar a minha Chave da Web API do Steam” e confirme sua ação no PopUp que abrirá clicando em “OK”.
Se você revogar sua chave API antes de mudar a senha ou desautorizar os dispositivos, o golpista, ainda tendo acesso à sua conta, pode facilmente criar uma nova chave API, continuando a ter controle sobre sua conta. Seguindo a ordem correta, você corta o acesso do golpista à sua conta antes de fechar a porta final com a revogação da chave API.
Além desses passos, aqui estão algumas medidas adicionais para manter sua conta segura:
Verifique regularmente o e-mail associado à sua conta Steam para qualquer atividade suspeita.
Ative a Autenticação em Dois Fatores (Steam Guard), se ainda não o fez. Isso adiciona uma camada extra de segurança ao exigir um código de acesso temporário sempre que um novo dispositivo tentar acessar sua conta.
Fique atento a e-mails ou mensagens suspeitas. Golpistas muitas vezes tentam se passar por plataformas legítimas para coletar suas informações.
Lembrando que, ao realizar transações em plataformas externas como a Nesha, sempre confira as instruções fornecidas diretamente pelos canais oficiais para evitar golpes.
Mantendo essas práticas em mente e seguindo o Passo 4 para recuperar a segurança da sua conta, você pode navegar com mais tranquilidade no universo das trades e vendas de skins no Steam.
Se você chegou aqui após ser vítima de um golpe de API, sinto muito por isso. Sabemos como pode ser frustrante e queremos ajudar a amenizar a situação tanto quanto possível. Aqui vai um guia mais amigável para te orientar no que fazer a seguir.
Primeiro, respire fundo. Vamos lidar com isso juntos. A má notícia é que, uma vez que seus itens foram levados, o Steam geralmente não consegue recuperá-los para você. Isso é duro, eu sei. Mas o foco agora é garantir que isso não aconteça novamente e tentar mitigar os danos.
Antes de mais nada, vamos falar sobre a recuperação de itens. A política do Steam é clara: itens perdidos por golpes não são geralmente restaurados. Isso acontece porque esses itens muitas vezes passam por várias mãos rapidamente, tornando quase impossível reverter sem afetar negativamente outros usuários inocentes. Mas não deixe isso te desanimar completamente. O importante agora é focar na recuperação da sua conta.
1. Recuperando o Acesso:
Se sua conta foi comprometida, seu primeiro passo é tentar recuperá-la. O Steam tem uma página de ajuda dedicada a isso. Siga as instruções cuidadosamente.
2. Prove que a Conta é Sua:
Você precisará fornecer um comprovante de titularidade para o Steam. Isso pode ser um código de um jogo que você ativou, um recibo de uma compra feita no Steam, entre outros. Quanto mais informações, melhor.
3. Reporte o Golpista:
Enquanto trabalha para recuperar sua conta, também é uma boa ideia reportar o perfil do golpista ao suporte do Steam. Isso não trará seus itens de volta, mas pode ajudar a proteger a comunidade como um todo, evitando que esse golpista faça mais vítimas.
Após recuperar sua conta, é crucial tomar medidas para protegê-la no futuro. Ative o Steam Guard para adicionar uma camada extra de segurança. E, claro, fique sempre atento a ofertas que parecem boas demais para ser verdade.
Perder suas skins em um golpe é algo realmente frustrante, mas espero que este guia te ajude a se sentir um pouco mais preparado para lidar com a situação. Mantenha-se seguro e boa sorte!
Quer explorar o vasto universo de skins e itens que a NeshaStore tem a oferecer ou precisa entrar em contato? Aqui estão todas as formas oficiais de se conectar conosco e garantir que você esteja acessando nossos serviços genuínos:
Site Oficial da Loja: Navegue por nossa coleção e descubra as últimas ofertas em https://neshastore.com
Link Direto e Prático: Para um acesso rápido através das nossas redes sociais, usamos nosso encurtador https://nesha.store
Suporte por Email: Para dúvidas, suporte ou informações, utilize nossos emails oficiais:
Transações e suporte ao cliente usamos o @neshastore.com.br
Marketing e promoções @neshastore.com
WhatsApp: Para atendimento direto e personalizado, nosso número é: +55 (15) 9 9807-8827
Facebook: Atendemos também diretamente pelo Facebook oficial da Nesha: https://www.facebook.com/NeshaStore/
Nas Redes Sociais: Acompanhe-nos e fique por dentro das novidades, promoções e conteúdo exclusivo:
Twitter: https://twitter.com/Neshastore
Instagram: https://www.instagram.com/neshastore/