Stručně – co je to ten Steam?
Je to nejrozšířenější hráčská platforma, která nabízí hráčům mnoho možností – od nákupu her, přes společné aktivity s přáteli až po nákup a uskladňování digitálních herních položek.
I vy jste se se Steamem zajisté setkali, pokud jste si někdy z katalogu dárků objednávali nějakou počítačovou hru. Zkrátka Steam je dnes extrémně populární platformou s velkým využitím pro hráče všech žánrů a věků.
Jaké důsledky to pro mě má, když mi ukradnou Steam účet?
Dobrá otázka. Jak jsem již zmínil, na Steamu můžete vlastnit spoustu her, které jste buď koupili nebo získali zadarmo. Můžete mít v inventáři digitální položky, které hodnotou dosahují klidně i několik desítek (
) tisíc korun. Je možnost mít zde uložené herní záznamy, komunikaci s přáteli či být zapojen do tzv. Steam rodiny, tedy že máte přístup k hrám lidí, kteří jsou v této rodině s vámi.
Mimo to by se daný útočník mohl s vaším účtem vydávat za vás a vnadit kamarády, aby se chytili do toho stejného podvodu. Zkrátka nejde o nic, o co byste chtěli přijít.
Jak se něco takového může stát?
Většinou je na vině sám uživatel. Jedná se o takzvané „sociální inženýrství“, tedy přesvědčení samotné oběti o tom, že má útočníkovi přístup sama dát. Nejedná se tedy o „hacking“ čistě v technické podobě.
Trik je jednoduchý. Útočník vás musí přesvědčit, abyste zadali své přihlašovací údaje na stránce, která se má tvářit jako legitimní web Steamu, ale ve skutečnosti vesele předáváte veškeré své důležité informace jemu, a to na zlatém podnose. Jedná se tedy o phishing.
Pohádky, které vám útočník navypráví, abyste tak učinili, bývají různé. Může se například jednat o prodej nějaké vaší položky z inventáře (kterou mimochodem chcete opravdu prodat, jen podvodník zkouší vlastní způsob prodeje, který končí nikoliv prodejem, ale nedobrovolným „obdarováním“ útočníka) nebo připojení se například do Counter-Strike týmu.
Jednoduše útočník vymyslí cokoliv jen proto, aby vás oškubal. Nicméně vězte, že i když útočníkův úmysl není zřejmý hned od začátku, dřív nebo později lze spatřit typické znaky podvodu. Stačí použít zdravý selský rozum, abyste jej odhalili.
Jak to funguje v praxi?
Nedávno mě na Steamu požádal náhodný hráč, který je údajně z Taiwanu (a já jsem ho v životě neviděl) o přátelství. Jelikož jsem byl s tímto podvodem již povrchově seznámen, řekl jsem si, že ho připravím o trochu času, který by mohl využít na to, aby to zkoušel na někoho, kdo se může reálně chytit.
Po přijetí žádosti od něj ihned přišla zpráva, kde uvedl, že je hráč v jakémsi Counter-Strike týmu. Pokračoval tím, že jednomu členovi z jeho týmu se rozbil počítač a že hledají náhradu, tedy jestli nechci být já tím náhradníkem. Odepsal jsem, že klidně, očekávajíc, co se bude dít dál.
Na to dotyčný poslal odkaz na platformu „frybattle.com“ (která pod touto doménou ani neexistuje), na které prý mám najít jeho tým a připojit se do něj.
Screenshot podvodné stránky - Counter-Strike týmy
První zarážející věcí bylo, že spousta tlačítek či odkazů na webu nefungovala nebo zobrazovala stále stejnou hlášku, i když to bylo vzhledem k popisu tlačítka naprosto nesmyslné. Podle pokynů hráče, který mi zaslal odkaz, jsem našel jeho tým „Vibe“ a klikl jsem na tlačítko Join the Team. Po kliknutí na mě vyskočilo okýnko říkající cosi o nutnosti propojit můj Steam účet.
Screenshot podvodné stránky - Hláška o propojení se Steam účtem
Pokračoval jsem tedy kliknutím na tlačítko Connect with Steam, načež na mě vyskočilo údajné přihlašovací okno na Steam. Toto okno se tvářilo jako další okno prohlížeče – ale nenechte se zmást! Jednalo se o prvek webové stránky, který se tak pouze tvářil – nejednalo se o opravdové prohlížečové okno! Prostým důkazem je jeho absence v hlavním panelu Windows a také nemožnost ho posunout mimo hlavní okno prohlížeče, jak můžete vidět níže.
Podvodné vyskakovací okno
Toto falešné vyskakující okno evokuje kvůli zfalšovanému adresnímu řádku (na snímku obrazovky nejde bohužel vidět) v uživateli dojem, že se jedná o oficiální doménu služby Steam, steampowered.com, což je pouze záměrné klamání, proto to falešné okno. Ostatně, pokud byste klikli například na informace o SSL certifikátu (ikona zámečku, standardní funkce prohlížeče), ukázalo by se vám okno v ruštině.
Podvodné vyskakovací okno - technický detail (iframe)
Při podrobném prozkoumání kódu zjistíme, že se jedná o tzv. iframe, což je jednoduše webová stránka vložená v jiné webové stránce. Konkrétně tato stránka, tvářící se jako oficiální přihlášení na Steam, byla hostována na doméně sedfyhio(.)com, což určitě není oficiální web Steamu.
Web jako takový je velmi věrohodnou kopií originálu, včetně funkčního přepínání jazyků. A zde je ta hranice, kdy během pár sekund můžete přijít o svůj účet. Stačí do této stránky zadat své přihlašovací údaje a jsou předané útočníkům.
Konkrétně u tohoto podvodu tedy neměli vychytané, že se musel vypínat tzv. Steam Guard, což je funkce, která při každém novém přihlášení požaduje potvrzení uživatele, a to buď zadáním kódu z e-mailu, nebo schválením v mobilní aplikaci. V případě přihlášení přes podvodný QR kód nevím, jestli by bylo také potřeba Steam Guard vypínat, jelikož jsem to nezkoušel. Ale již požadavek na vypnutí něčeho takového je extrémně podezřelý a ve 100 % případů svědčí o podvodu.
No a nakonec finále – pokud skutečně zadáte data od účtu (podvodný web umí pohlídat, jestli zadáváte opravdové přihlašovací údaje a ne jen nesmysly), tak se vám zobrazí hláška v ruštině a k účtu mají přístup podvodníci, jelikož jste se doopravdy nikam nepřihlašovali.
Co dělat, když už tě někdo nachytal?
Okamžitě se pokusit změnit si heslo, případně nastavit Steam Guard, tedy dvoufázovou ochranu přihlašování. Pokud se do účtu již nemůžete dostat, bezodkladně kontaktujte podporu služby Steam, která to s vámi bude nadále řešit a pomůže vám získat váš účet zpět.
Závěrem
Tento podvod využívá celkem sofistikované klamavé vizuální prvky, aby skryl běžné poznávací znaky takového podvodu.
Co na tomto podvodu bylo tedy nejvíce podezřelé?
- Do přátel si vás chce přidat neznámý člověk.
- Pohádka o týmu a rozbitém počítači je dost pochybná.
- Posílá vám divný odkaz.
- Po kliknutí na odkaz je po vás požadováno zadávání citlivých údajů!
Aneb stačí používat kritické myšlení. Proč po mně někdo neznámý z Taiwanu chce, abych si zahrál v jeho Counter-Strike týmu? Proč se musím přihlašovat ke svému účtu na nějakém pochybném odkazu? A tak dále...
Pamatujte však, že tento požadavek může dorazit i z účtu kamaráda, který byl nejspíš kompromitován, takže si ve skutečnosti nepíšete se svým kamarádem, ale s podvodníkem, který mu účet ukradl. Buďte tak vždy opatrní i na to, co po vás kdokoliv po chatu chce.
Obecně platí, že nejlepší je se do Steamu přihlašovat pouze z počítačového klienta nebo přímo na webu steampowered.com, jehož URL adresu jste sami zadali do prohlížeče (a neklikli jste na ni třeba ve zprávě).
Doufám, že jste se dozvěděli opět něco nového a budete teď zase o trochu ostražitější – přece jen, přijít o identitu, hry nebo položky v inventáři nechceme nikdo. 
Zde si můžete přečíst oficiální informace od Steamu k podobným podvodům (v angličtině).
%22 stroke-width%3D%225%22%3E%3Cpath fill%3D%22%23FFF%22 stroke%3D%22%232A0%22 d%3D%22m99.491 115.1c-10.814 3.8159-16.019-6.9475-28.222-6.9475-6.9601 0-8.0053 8.3328-17.073 7.9928-6.7292-0.25608-16.359-1.0453-20.183-13.568-3.8452-12.552 8.6896-31.367 20.897-37.621 12.178-6.2632 27.152-3.8452 44.581 8.3538 17.392 12.186 6.5655 39.456 0 41.79%22/%3E%3Cpath fill%3D%22%23FFF%22 stroke%3D%22%23843%22 d%3D%22m24.261 78.195c-18.475 4.8611-19.524-17.371-7.3085-24.041 14.63-8.0096 25.75 19.155 7.3085 24.041%22/%3E%3Cpath fill%3D%22%23FFF%22 stroke%3D%22%231AA%22 d%3D%22m47.95 52.068c-21.967 4.5211-19.52-24.856-4.8821-30.644 16.712-6.62 26.82 26.115 4.8821 30.644%22/%3E%3Cpath fill%3D%22%23FFF%22 stroke%3D%22%2338D%22 d%3D%22m82.771 49.96c-23.684-1.7379-10.39-31.618 1.7379-30.623 17.056 1.3937 21.942 32.378-1.7379 30.623%22/%3E%3Cpath fill%3D%22%23FFF%22 stroke%3D%22%231AA%22 d%3D%22m113.76 70.878c-20.213-1.3895-10.213-24.587-2.0863-26.14 16.359-3.1148 22.274 27.525 2.0863 26.14%22/%3E%3C/g%3E%3C/svg%3E)
