Статьи по теме: Аккаунт
Эта статья также доступна на:

Что такое API Scam (API-мошенничество)

API Scam — это форма мошенничества, с которой можно столкнуться на платформе Steam.


Она заключается в использовании уязвимостей системы безопасности Steam и незнания пользователей, чтобы обманом похитить у них игровые предметы.


Сам ключ Steam API, который может быть сгенерирован для любого аккаунта на платформе Steam, позволяет управлять предложениями обмена, но не позволяет их принимать, так как для завершения обмена требуется Steam Guard Mobile Token.


Как работает API Scam


Пользователь Steam (например, привлечённый заманчивым или даже нереальным предложением) переходит на сайт, который выдаёт себя за официальный сервис или имитирует другой сайт.


Затем его перенаправляют на поддельную страницу входа в Steam, где он вводит свои логин, пароль и код авторизации из мобильного приложения Steam Guard.


После ввода этих данных мошенники получают возможность добавить собственный API-ключ к аккаунту пользователя и таким образом получают к нему доступ.

API-ключ Steam можно получить на специальной странице после входа в аккаунт Steam.


Получив доступ к API-ключу, злоумышленники запускают автоматический скрипт, который «слушает» все входящие предложения обмена пользователя.

Когда появляется новое предложение, скрипт считывает информацию о нём.


После этого скрипт создаёт поддельное предложение обмена от аккаунта, визуально похожего на тот, с которым пользователь должен был обменяться.

При этом настоящее предложение отменяется автоматически, а фальшивое отправляется пользователю.


Когда пользователь принимает поддельное предложение через Steam Guard Mobile Token, он не замечает подмену и теряет свои предметы.


⚠️ Важно! В разделе «История входящих предложений обмена» вы можете заметить две записи: Настоящее предложение будет со статусом «Обмен отклонён (дата и время)» и Поддельное предложение будет со статусом «Обмен принят (дата и время)».


Как распознать API-мошенничество?


Перед тем как принять предложение обмена через Steam Guard Mobile Token, рекомендуется:


  1. Проверить детали профиля, с которого получено предложение обмена (никнейм, аватар и т. д.).
  2. Сверить уровень Steam-профиля — у мошеннического аккаунта он может отличаться от настоящего.
  3. Посмотреть историю смены имени профиля. Для этого в предложении обмена нажмите на аватар или имя профиля, от которого поступило предложение, затем нажмите на стрелку рядом с именем, чтобы развернуть историю никнеймов.
  4. Проверить дату создания аккаунта Steam, с которого получено предложение. Эта дата не может быть изменена, поэтому она надёжный показатель подлинности.


Как защитить себя от API-мошенничества в будущем?


  1. Перейдите по ссылке https://steamcommunity.com/dev/registerkey и удалите созданный API-ключ, нажав кнопку «Revoke my Steam Web API key».
  2. Если ключ снова появляется, убедитесь, что ваш браузер или устройство не заражены вредоносным ПО.
  3. Отозовите доступ всем другим устройствам, вошедшим в ваш аккаунт, перейдя по ссылке https://store.steampowered.com/twofactor/manage.
  4. Проверьте, не были ли внесены другие изменения в аккаунт (например, смена адреса электронной почты).
  5. Смените пароль от аккаунта Steam. Если вы используете этот же пароль на других сайтах — измените и там.
  6. После выполнения всех шагов убедитесь, что API-ключ не был создан заново (см. пункт 1). Если вы используете плагины или расширения для инвентаря Steam, проверьте, не генерируют ли они API-ключ самостоятельно.


⚠️ Внимание! Перед каждым обменом рекомендуется проверять, что у вашего аккаунта не создан Steam Web API-ключ. Эта простая мера значительно повышает безопасность ваших обменов!

Последнее изменение: 06/11/2025