NÃO CAIA NO GOLPE API SCAM!

1. Entendendo o Golpe

Como esse golpe funcionava antigamente?

  1. Os usuários eram atraídos para sites fraudulentos, clones perfeitos de plataformas legítimas de troca de skins. Ao tentarem fazer login com suas credenciais da Steam, a chave API do usuário era clonada, dando ao golpista controle total sobre as transações.

  2. O golpista vigiava continuamente as trocas do usuário até identificar uma oferta que envolvia um item de alto valor.

  3. Ao identificar a oferta valiosa, o golpista adaptava um de seus perfis na Steam para se assemelhar ao destinatário legítimo da troca, copiando nome e foto. Utilizando a chave API clonada, então cancelava a oferta de troca original.

  4. De forma rápida, uma nova oferta de troca era feita a partir do perfil falso, ofertando o mesmo item ao usuário.

  5. A vítima, ao perceber dificuldades para confirmar a troca via autenticador móvel, verificava suas trocas e descobria que precisava “aceitar” a oferta novamente. Sem perceber o engano, confirmava a troca falsa, enviando o item de valor diretamente para o golpista.

  6. Todo o processo era altamente automatizado, permitindo que a ação ocorresse em segundos. A vítima mal tinha tempo de perceber a fraude antes de ser tarde demais.

A Steam criou um alerta no aplicativo para celular que avisa quando uma troca pelo mesmo item foi cancelada recentemente. Se você ver esse aviso, Execute o Passo 4 – Recuperando a Segurança da Conta!

Captura de tela de um aviso de golpe em uma proposta de troca na Steam, com destaque para a mensagem: 'CUIDADO COM GOLPES: uma proposta de troca destes itens com outro usuário foi cancelada recentemente. Verifique o conteúdo e a contraparte da troca com cuidado.' O aviso sugere cautela ao usuário em ofertas de troca, após o cancelamento de uma negociação que envolvia um possível golpe através de truque de API. A imagem exibe um logotipo de um tigre de dentes de sabre azul e um emoji de cautela.

Como funciona esse golpe hoje em dia?

A Steam vem turbinando sua segurança de um jeito que, olha só, cancelar uma troca com a chave API virou missão impossível (tem mais detalhes sobre essa atualização aqui). Mas, sabe como é, os golpistas não dormem no ponto e já mudaram de estratégia: agora o negócio deles é o phishing, que nada mais é do que uma forma espertinha de te fazer entregar sua senha sem perceber. Vamos entender esse novo jogo:

  1. Tudo começa inocentemente quando você, sem suspeitar de nada, dá de cara com um site pedindo seu login da Steam. Mas olha a cilada: esse site é uma farsa e apresenta uma página de login falsificada, criada em JavaScript. E não é que até o URL se passa por legítimo, querendo ser o oficial da Steam? A imitação é tão perfeita que confunde qualquer um.
  2. Nessa armadilha, o site te pede para entrar com seu usuário e senha da Steam, e você, achando que está seguro, obedece. Na sequência, como se não bastasse, ele quer o código do Steam Guard, aquele código extra de segurança que você recebe no aplicativo ou e-mail da Steam.
  3. Você, confiante de estar protegido, digita o código do Steam Guard. Mas é aí que os golpistas fazem a festa: com essas informações, eles conseguem acessar sua conta Steam como se fossem você, podendo aprontar o que bem entenderem.
  4. Com o domínio da sua conta, o espertinho do golpista pode até criar uma Chave da API Web do Steam. Isso é algo mais avançado, geralmente usado por desenvolvedores. Mas nas mãos erradas, permite ao invasor monitorar e manipular suas negociações de maneira ainda mais sorrateira.
  5. Imagine que você decide fazer uma troca, oferecendo um item de valor para outro jogador. O golpista, de olho em tudo, escolhe um perfil falso, idêntico ao do usuário legítimo com quem você queria negociar.
  6. Usando a sessão de login que obteve ilegalmente, o golpista cancela sua oferta legítima de troca. Depois, num piscar de olhos, cria uma nova oferta de troca, só que do seu perfil para o perfil falso, imitando as condições da oferta original.
  7. Quando você recebe a notificação no seu autenticador móvel, pensa que está confirmando a troca que queria fazer. Mas, sem perceber, confirma a oferta falsa, mandando seu item valioso direto para o colo do golpista.

Esse esquema de golpe é absurdamente eficiente e age num piscar de olhos, aproveitando o breve momento entre a criação da sua oferta legítima e a hora em que você usa o Steam Guard para confirmá-la. Ou seja, se você notar uma troca cancelada do nada, é sinal de que os golpistas estão dentro da sua conta, logados e aprontando todas.

2. Identificando a Ameaça

Links Suspeitos

Os golpistas são mestres do disfarce. Eles podem criar páginas que parecem idênticas à página de login da Steam, mas com um pequeno detalhe diferente: o URL. Antes de digitar suas informações, dê uma olhada na barra de endereços. Se não for “https://steamcommunity.com” e algo como “steamcommunilty” ou algo semelhante, é um sinal claro de que você está prestes a cair num golpe. Sempre verifique duas vezes o URL antes de inserir seus dados.

Imagem comparativa exibindo duas URLs, sendo a legítima da Comunidade Steam 'https://steamcommunity.com', marcada com um sinal de verificação verde, e outra fraudulenta 'https://steamcommunilty.com', marcada com uma cruz vermelha, alertando os usuários sobre páginas falsas de login da Steam usadas em golpes.

Digamos que você está navegando por um site se passando pela NeshaStore, clica para fazer login e, de repente, aparece uma solicitação para entrar com a conta da Steam. Aqui vai um alerta importante: na Nesha, você nunca é pedido para fazer login através da Steam diretamente na plataforma. Além disso, se você prestar atenção, provavelmente vai perceber que a URL na barra de endereços ainda mostra o endereço do site falso, algo como “https://neshastore.store”, enquanto a suposta página de login da Steam aparece na tela. Esse é um sinal vermelho de alerta, pois a URL autêntica da Steam não está sendo exibida como deveria.

Imagem ilustrativa destacando duas URLs para alertar sobre golpes na internet: a URL fraudulenta 'https://neshastore.store', marcada com um X vermelho, e a URL autêntica 'https://neshastore.com', validada com um sinal de verificação verde, indicando a importância de verificar os endereços para segurança ao acessar a NeshaStore.

Ofertas de trocas e mensagens incomuns

Imagine só: você acabou de adicionar alguém na Steam, talvez pensando em trocar algumas skins ou apenas expandir seu círculo de amigos no jogo. De repente, essa nova adição manda uma mensagem, seja num inglês meio torto ou num português que deixa a desejar, com uma proposta que parece cair do céu. “Você ganhou um item exclusivo no site X Y Z! Basta fazer login para resgatar!” Soa familiar?

Agora, vamos ser honestos, quem não gostaria de ganhar itens grátis, especialmente se for algo raro ou de valor? Mas aqui está o alerta: essas mensagens inesperadas são o campo de jogo favorito dos golpistas. Eles sabem que a promessa de recompensas fáceis pode ofuscar o bom senso de qualquer um por um momento.

Captura de tela de conversa no chat da Steam exibindo duas mensagens suspeitas de 'John'. Na primeira, ele compartilha um link falso 'http://steamncommunit y.com/id/junindolograu' e na segunda, oferece um Gift Card da Steam no valor de R$50 em um site fraudulento 'https://steamgiftcard.com/50gift-JDH50MRND'. Ambas as mensagens são exemplos clássicos de tentativas de golpe através de engenharia social.

Essas propostas, que surgem como se fossem um presente dos deuses dos jogos, na verdade, escondem armadilhas bem elaboradas. Os golpistas utilizam a engenharia social, uma arte de manipulação, para fazer você acreditar que está a apenas um clique de ganhar algo incrível. No entanto, esse clique pode custar muito caro, comprometendo sua conta, suas skins valiosas, ou até mesmo informações pessoais.

3. Prevenção de Golpes

Login na Steam

Conhecimento Prévio:
Esteja ciente de que a todos os serviços legítimos que interagem com a Steam não requerem que você faça login repetidamente, especialmente se você já estiver logado na Steam pelo navegador.

Como Funciona o Golpe:
Você recebe ou clica em um link, e ao primeiro olhar parece legítimo, no entanto, este link, leva a um site projetado para se parecer com uma página oficial da Steam, mas não é.

Passos Para Garantir Segurança:

Acesso Prévio: Antes de interagir com qualquer serviço que solicite login da Steam, abra uma nova guia no navegador e acesse diretamente o site oficial da Steam (https://steamcommunity.com) e faça login lá.

Manutenção da Sessão: Uma vez logado diretamente no site oficial da Steam, sua sessão fica ativa. Sites legítimos reconhecerão essa sessão ativa e NÃO pedirão que você faça login novamente.

Captura de tela de uma autêntica página de login da Steam em um site de terceiros, marcada com um selo de 'Login Real'. A tela informa que o site exemplo.com não está associado à Steam ou à Valve e mostra um botão de 'Iniciar sessão' com o avatar e nome de usuário 'John exemplo_user'. Explica que o Steam não compartilha credenciais e apenas um identificador numérico único é compartilhado com o site terceiro.

Sua Chave API da Steam

O Básico sobre a API do Steam: A API (Interface de Programação de Aplicativos) do Steam é um conjunto de funções que desenvolvedores e sites podem usar para acessar dados do Steam e interagir com a plataforma de maneiras específicas, tudo isso de forma automatizada. Isso inclui, mas não se limita a, gerenciar amigos, inventário, e ofertas de troca.

Como Acessar Sua Chave de API: Sua chave de API está localizada em uma página específica dentro do ambiente de desenvolvedor do Steam. Você pode encontrá-la acessando https://steamcommunity.com/dev/apikey. Lembre-se, é permitido ter apenas uma chave de API ativa por vez.

Confirmação de Criação: Ao criar uma nova chave de API, uma etapa de segurança adicional requer que você confirme a solicitação através do seu autenticador móvel Steam Guard. Isso é feito para garantir que apenas o proprietário legítimo da conta possa criar uma chave de API.

Notificação de Solicitação no Steam Guard:

Fique Atento às Notificações: Se, a qualquer momento, você receber uma notificação no seu autenticador móvel Steam Guard solicitando a criação de uma chave de API de desenvolvedor sem sua iniciativa, isso é um grande alerta vermelho.

Texto alternativo: "Notificação da Steam na tela de um celular, alertando para a criação de uma chave da API. A mensagem solicita autorização para criar uma chave da API com acesso à conta do usuário, destacando a localização do desenvolvedor em Sorocaba, São Paulo, BR e o domínio 'Scammer'. Um aviso ressalta que a chave da API não é necessária para a sessão na Steam ou outros sites e instrui que, se a chave não foi solicitada ou não se sabe como usá-la, deve-se recusar a solicitação e alterar a senha.

Ação Imediata: Negue imediatamente a solicitação através do autenticador e considere isso como um sinal de que sua conta pode estar comprometida. É crucial seguir o Passo 4 para proteger sua conta imediatamente.

Uso da Chave API
Para cada conta que deseja usar a API do Steam, é gerada uma “chave da API” única. Essa chave funciona como uma senha, permitindo que o usuário ou aplicativo autorizado faça solicitações em nome da conta.

Segurança da Chave API
A chave da API é um elemento crítico de segurança. Ela deve ser mantida em sigilo, pois, nas mãos erradas, pode ser usada para manipular informações da conta ou executar ações sem o conhecimento do proprietário da conta.

Em Caso de Exposição
Se, por acaso, você compartilhou sua chave API ou suspeita que ela possa ter sido comprometida, é vital revogá-la imediatamente acessando a página de gerenciamento da API do Steam. Revogar a chave API corta instantaneamente o acesso não autorizado à sua conta através dessa chave.

O Papel da API nos Golpes
Mito do Golpe da API: Enquanto alguns golpes antigos dependiam da obtenção da chave API para manipular ofertas de troca, a realidade é que os golpistas evoluíram. Agora, se eles conseguirem acesso à sua conta (seja por meio de phishing, malware, ou qualquer outra técnica), podem executar ações prejudiciais sem necessariamente precisar da sua chave API.

Automatização de Ações Maliciosas
Um golpista com acesso ao seu computador ou conta Steam pode automatizar ações maliciosas sem o uso da API. Isso inclui criar ofertas de troca fraudulentas, enviar mensagens ou alterar configurações da sua conta.

Guia de Segurança

Imagina que você tem uma skin valiosa no CS2 e decide vendê-la na Nesha para receber dinheiro via Pix. Essa transação, embora promissora, também pode ser uma porta para golpistas se não forem tomados os devidos cuidados.
O golpista, agora com a chave API em mãos, tem total capacidade de criar e cancelar ofertas de troca. Este poder é usado para redirecionar suas trocas legítimas para contas fraudulentas que espelham perfeitamente o perfil do seu trader pretendido sem milésimos de segundos. Especialmente com a versão mais recente do app Steam que não mostra a data de registro do usuário, este tipo de fraude se torna mais difícil de detectar.

Como Funciona:

Qualquer oferta de troca feita por você pode ser interceptada e desviada para uma conta impostora que se parece exatamente com a do usuário legítimo com quem você desejava negociar.

Adição Prévia no Steam:

Ação: Adicione o usuário com quem você pretende negociar no Steam antes de qualquer oferta de troca.
Por quê? Isso adiciona um ícone de “amigo” na confirmação de troca, servindo como uma camada adicional de verificação.

Nível Steam:

Ação: Confirme se o nível do Steam e o emblema na confirmação da troca são idênticos aos do perfil do trader pretendido.
Importância: Isso é crucial para assegurar que você não está sendo redirecionado para um impostor.

Inclusão de um Item Simbólico:

Ação: Nunca envie uma oferta de troca vazia. Adicione um item de baixo valor, como um adesivo de 3 centavos, do lado do comerciante pretendido.
Por quê? Isso assegura que, na confirmação da troca, se os itens do “comerciante pretendido” estiverem vazios, é um indicativo de que sua conta pode estar comprometida.

Captura de tela de uma confirmação de troca no aplicativo da Steam, com anotações explicativas. As anotações apontam para o ícone de amigo, indicando uma conexão prévia com o usuário, para o nível e distintivo do usuário no canto superior direito, e para um item aleatório 'EASY PEASY' adicionado na troca. Estes pontos são destacados como verificações importantes para evitar golpes na Steam.

Dupla Verificação das Ofertas de Troca:

Ação: Antes de confirmar a troca no aplicativo móvel, verifique suas ofertas de troca enviadas no Steam.
Por quê? Se houver uma oferta ativa e uma cancelada que são idênticas, isso pode indicar um comprometimento da sua conta.

Confirmação Direta do Perfil do Usuário:

Ação: Clique no ícone do usuário na oferta de troca para acessar diretamente seu perfil. Verifique a data de criação da conta colocando o URL do Steam em steamid.uk.
Por quê? A maioria dos bots de golpes possuem URLs no formato ‘/profiles/XXXX’, ao contrário de URLs personalizadas ‘/id/XXXX’.

Captura de tela do Steam mostrando duas ofertas de troca: a superior com um X vermelho indica uma proposta para 'NeshaScam' com um item de CS:GO, enquanto a inferior com um ponto de exclamação amarelo destaca 'Proposta cancelada em 13/mar./2024' para 'NeshaStore'. As anotações explicam que o trade original foi cancelado e uma nova proposta de um scammer foi criada, levando ao risco de aceitar uma troca falsa.

4. Recuperando a Segurança da Conta

Se você se encontra na infeliz situação de ter sua conta Steam comprometida, é crucial agir de forma rápida e ordenada. A sequência das ações é tão importante quanto as ações em si, especialmente quando se trata de proteger sua conta contra golpistas que estão sempre à espreita para explorar qualquer oportunidade.

Aqui está o que você precisa fazer, exatamente nesta ordem:

1. Mude sua senha

A primeira linha de defesa é a sua senha. Uma mudança aqui é como trocar a fechadura da porta da sua casa depois de perder a chave. Você pode fazer isso diretamente pelo programa da Steam no seu PC, clique em “Steam” na barra superior, vá até “Configurações”, selecione “Segurança” e clique em “Alterar Senha”. Se preferir fazer pelo navegador, acesse diretamente: https://store.steampowered.com/account/.

Procure pela seção “Segurança da Conta” e clique em “Alterar senha”. Escolha uma senha forte e única que você não usa em nenhum outro lugar.

Captura de tela da seção 'Segurança da Conta' no aplicativo da Steam, com uma opção destacada por um círculo verde para 'Alterar senha'. A tela informa que a conta está protegida pelo autenticador móvel do Steam Guard e fornece opções para 'Gerenciar Steam Guard' e aprender mais sobre o Steam Guard e o autenticador móvel.

2. Desautorize todos os dispositivos

Em seguida, é hora de garantir que ninguém mais, exceto você, possa acessar sua conta. Ao desautorizar todos os dispositivos, você força qualquer pessoa que esteja logada em sua conta a fazer login novamente, mas agora com a nova senha. Pelo programa da Steam no seu PC, clique em “Steam”na barra superior, vá até “Configurações”, Selecione “Segurança”e clique em “Desautorizar dispositivos”.

Captura de tela mostrando a interface do programa Steam no PC com a seção 'Configurações' aberta, destacando a aba 'Segurança' e a opção 'Desautorizar dispositivos'. Isso indica como um usuário pode remover o acesso de todos os dispositivos à sua conta Steam para garantir que ninguém mais possa acessá-la sem a nova senha.

Ou se preferir, também pode fazer isso pelo navegador, acessando:
https://store.steampowered.com/twofactor/manage e clicando em “Desautorizar todos os dispositivos”.

Captura de tela da página de segurança da Steam através de um navegador, mostrando a opção 'Desautorizar todos os dispositivos'. O texto explica que o usuário pode usar o Steam Guard no aplicativo móvel para ver detalhes dos dispositivos autorizados a acessar a conta e finalizar a sessão em qualquer dispositivo em que não confie mais, incluindo o atual.

3. Apagar sua chave API

Agora, e somente agora, após mudar sua senha e desautorizar todos os dispositivos, você deve revogar sua chave API. Se você fizer isso antes de mudar a senha e desautorizar os dispositivos, o golpista poderá simplesmente criar uma nova chave API sem que nem perceba. Para apagar sua Chave API acesse:
https://steamcommunity.com/dev/apikey

Interface do site da Steam mostrando a seção 'Criar chave da Web API do Steam' com uma chave API exibida. Um botão destacado 'Revogar a minha chave da Web API do Steam' é enfocado e uma janela de confirmação com o texto 'Revogar sua chave da Web API do Steam inutilizará qualquer aplicativo que a usa' aparece com a opção 'OK' em destaque, indicando o processo para revogar uma chave API comprometida.

Na página, clique em “Revogar a minha Chave da Web API do Steam” e confirme sua ação no PopUp que abrirá clicando em “OK”.

Por que essa ordem é crucial?

Se você revogar sua chave API antes de mudar a senha ou desautorizar os dispositivos, o golpista, ainda tendo acesso à sua conta, pode facilmente criar uma nova chave API, continuando a ter controle sobre sua conta. Seguindo a ordem correta, você corta o acesso do golpista à sua conta antes de fechar a porta final com a revogação da chave API.

Dicas para Manter sua Conta Segura

Além desses passos, aqui estão algumas medidas adicionais para manter sua conta segura:
Verifique regularmente o e-mail associado à sua conta Steam para qualquer atividade suspeita.
Ative a Autenticação em Dois Fatores (Steam Guard), se ainda não o fez. Isso adiciona uma camada extra de segurança ao exigir um código de acesso temporário sempre que um novo dispositivo tentar acessar sua conta.
Fique atento a e-mails ou mensagens suspeitas. Golpistas muitas vezes tentam se passar por plataformas legítimas para coletar suas informações.

Lembrando que, ao realizar transações em plataformas externas como a Nesha, sempre confira as instruções fornecidas diretamente pelos canais oficiais para evitar golpes.

Mantendo essas práticas em mente e seguindo o Passo 4 para recuperar a segurança da sua conta, você pode navegar com mais tranquilidade no universo das trades e vendas de skins no Steam.

5. Recuperando sua Conta

Se você chegou aqui após ser vítima de um golpe de API, sinto muito por isso. Sabemos como pode ser frustrante e queremos ajudar a amenizar a situação tanto quanto possível. Aqui vai um guia mais amigável para te orientar no que fazer a seguir.

Fui Scammado! E agora?

Primeiro, respire fundo. Vamos lidar com isso juntos. A má notícia é que, uma vez que seus itens foram levados, o Steam geralmente não consegue recuperá-los para você. Isso é duro, eu sei. Mas o foco agora é garantir que isso não aconteça novamente e tentar mitigar os danos.

Recuperando o que é seu (ou pelo menos tentando)

Antes de mais nada, vamos falar sobre a recuperação de itens. A política do Steam é clara: itens perdidos por golpes não são geralmente restaurados. Isso acontece porque esses itens muitas vezes passam por várias mãos rapidamente, tornando quase impossível reverter sem afetar negativamente outros usuários inocentes. Mas não deixe isso te desanimar completamente. O importante agora é focar na recuperação da sua conta.

Passos para Recuperar sua Conta Steam

1. Recuperando o Acesso:
Se sua conta foi comprometida, seu primeiro passo é tentar recuperá-la. O Steam tem uma página de ajuda dedicada a isso. Siga as instruções cuidadosamente.

2. Prove que a Conta é Sua:
Você precisará fornecer um comprovante de titularidade para o Steam. Isso pode ser um código de um jogo que você ativou, um recibo de uma compra feita no Steam, entre outros. Quanto mais informações, melhor.

3. Reporte o Golpista:
Enquanto trabalha para recuperar sua conta, também é uma boa ideia reportar o perfil do golpista ao suporte do Steam. Isso não trará seus itens de volta, mas pode ajudar a proteger a comunidade como um todo, evitando que esse golpista faça mais vítimas.

Lembre-se: Proteja sua Conta

Após recuperar sua conta, é crucial tomar medidas para protegê-la no futuro. Ative o Steam Guard para adicionar uma camada extra de segurança. E, claro, fique sempre atento a ofertas que parecem boas demais para ser verdade.

Perder suas skins em um golpe é algo realmente frustrante, mas espero que este guia te ajude a se sentir um pouco mais preparado para lidar com a situação. Mantenha-se seguro e boa sorte!

Links e contas Oficiais NeshaStore

Quer explorar o vasto universo de skins e itens que a NeshaStore tem a oferecer ou precisa entrar em contato? Aqui estão todas as formas oficiais de se conectar conosco e garantir que você esteja acessando nossos serviços genuínos:

Site Oficial da Loja: Navegue por nossa coleção e descubra as últimas ofertas em https://neshastore.com

Link Direto e Prático: Para um acesso rápido através das nossas redes sociais, usamos nosso encurtador https://nesha.store

Suporte por Email: Para dúvidas, suporte ou informações, utilize nossos emails oficiais:

Transações e suporte ao cliente usamos o @neshastore.com.br
Marketing e promoções @neshastore.com

WhatsApp: Para atendimento direto e personalizado, nosso número é: +55 (15) 9 9807-8827

Facebook: Atendemos também diretamente pelo Facebook oficial da Nesha: https://www.facebook.com/NeshaStore/

Nas Redes Sociais: Acompanhe-nos e fique por dentro das novidades, promoções e conteúdo exclusivo:

Twitter: https://twitter.com/Neshastore
Instagram: https://www.instagram.com/neshastore/