Как взломать компьютер через стим

Обновлено: 04.07.2024

Киберпреступники ежемесячно взламывают 77,000 аккаунтов Steam. Как это возможно?

Киберпреступников как магнитом притягивает к различным веб-ресурсам, вокруг которых крутится много денег. Эта участь не миновала и Steam: согласно подсчетам Valve (компании, создавшей сервис Steam), 77 тысяч его пользователей ежемесячно теряют деньги, игровые предметы и даже учетные записи.

Современные технологии позволяют киберпреступникам ждать месяцами, пока тот или иной троянец заразит систему и принесет прибыль. Зловредов так много, и они так хорошо распространены, что судьба одного конкретного образца вовсе не критична для его создателей. Получается, что под удар попадает буквально каждый пользователь Steam.

Троянец-как-услуга — полный пакет для воровства игр

Оказалось, что воры аккаунтов Steam Stealers приносят злоумышленникам еще больше денег. К сожалению, их создают и распространяют не какой-то один кибермошенник и даже не группа преступников, а целый легион разных банд.

В результате с настройкой этих троянцев справится и новичок, делающий первые шаги в мире киберпреступности. Программисту, владеющему хоть какими-нибудь навыками разработки, будет еще проще.

Еще одна плохая новость: Steam Stealers продаются по очень низким ценам. Обычно троянцы-как-услуга стоят по $500 за образец, тогда как цены на Steam Stealers начинаются от 200 рублей. Если доплатить еще 250, покупатель получит полное руководство пользователя и исходный код зловреда, который пригодится, чтобы модифицировать его под свои нужды. Да, сейчас мы говорим о самом дешевом варианте, но на самом деле довольно сложно найти такого троянца-вора для Steam, который стоил бы больше $30.

Старые приемы на новый лад

Что интересно, киберпреступники выучили урок из легенды о Вавилонской башне: весь исходный код их программного обеспечения задокументирован и доступен для изучения на разных языках, что только способствует распространению зловреда.

Как оказалось, распространение троянца, заточенного под конкретный регион, — залог успеха. Например, в России и русскоговорящих странах легко можно найти локализированную версию троянца-вора, а Steam в России очень и очень популярен — целей для атак хоть отбавляй.

Во время расследования эксперты GReAT обратили внимание на то, что используемые хакерами способы обмана эволюционируют: поддельные скриншоты начинают выглядеть более достоверными, фальшивые сайты становятся все больше похожи на оригиналы, появляются новые способы доставки троянов, а боты кажутся более похожими на людей. Хотя 2016 год только начинается, угроз уже немало, и количество специализированных атак для Steam будет только расти. Подробнее о нашем исследовании вы можете прочесть на Securelist.

А что делает Valve для защиты пользователей?

В конце 2015 года число пользователей Steam перевалило за 12 млн. Как видите, перед хакерами, по сути, огромное пространство для атаки, которое привлекает все новых и новых преступников.

Корпорация Valve весьма обеспокоена сложившейся ситуацией, и сейчас она вводит множество новых мер безопасности. Плохие парни тоже не дремлют — они исследуют защиту Steam в попытке обнаружить новые лазейки и потенциальные уязвимости. В этом непрекращающемся сражении побеждает тот, кто находится все время на шаг впереди.

Проблема Steam в том, что этот сервис создавался для развлечений. Поэтому ему все время приходится балансировать между безопасностью и удобством использования. Многие геймеры не готовы пожертвовать своим комфортом ради защиты.

Если сервис пока не может одержать верх в этой битве с хакерами, придется пользователям взять дело в свои руки.

Проблема позволяла выполнить произвольный код на компьютере и установить вредоносное ПО.

В библиотеке Valve Source SDK обнаружена уязвимость, позволяющая выполнить произвольный код на компьютере пользователей, играющих в релизы от Valve, а также установить различное вредоносное ПО (трояны-вымогатели, банковские трояны, майнеры криптовалют и т.д.).

Проблема возникла из-за открытости инструментария, который Valve предоставляет пользователям. Многие игры на движке Source используют библиотеку Source SDK, позволяющую сторонним компаниям и независимым разработчикам загружать в игры различные сторонние текстуры, эффекты и анимации смерти.

Как отметил исследователь из компании One Up Security Джастин Тафт (Justin Taft), обративший внимание на проблему, сценариев атаки может быть несколько. Один из них выглядит следующим образом: злоумышленник создает вредоносную ragdoll-модель (анимация смерти персонажа), внедрив в файл эксплоит. Когда пользователь подключается к сторонним серверам, управляемым хакером, на его компьютер загружаются вредоносные ресурсы и при смерти его персонажа в игре исполняется вредоносный код.

Специалисты One Up Security проинформировали Valve об уязвимости и та уже устранила проблему в ряде игр, включая Counter-Strike: Global Offensive, Team Fortress 2, Left 4 Dead 2, Portal 2 и Half-Life 2: Deathmatch.

Source SDK - набор утилит для создания модификаций на движке Source, бесплатно доступный через Steam игрокам.

Steam - сервис цифрового распространения компьютерных игр и программ, принадлежащий компании Valve. Steam выполняет функции службы активации, загрузки через Интернет, автоматических обновлений и новостей для игр как самой Valve, так и сторонних разработчиков по соглашению с Valve.

Пишет мне в стиме один крендель. В друзьях давно, но т.к. у меня 310 человек в друзьях, всех я не помню. Пишет, мол играли недавно вместе.

Конечно же, я его не узнал. Возможно, потому что я в принципе с ним не играл ни разу. Далее он кинул мне вот такой вот скриншот из CS:GO:

На самом деле это не картинка, а ссылка, которую стим открывает как картинку, так как данный скриншот был залит на хостинг изображений.
Как только вы нажимаете на скриншот, чтобы сделать изображение покрупнее, вы тем самым кликаете на ссылку.

Кликая на ссылку, вы переходите на сайт, который палит ваш IP-адрес. Используя этот айпи, мошенник дудосит ваш Wi-Fi (не знаю, как, но интернет действительно пропадает на пару минут). Потом начинает писать, что вы скачали вирус, что вашему компу пипец и т.д.

Я сначала и не заметил, что интернет пропадал, ибо гулял в это время. Но потом он начал писать, что я пытался кого-то развести на вещи, и что ему нужно проверить мой аккаунт. Предлагал пойти в ним в дискорд, включить демонстрацию экрана, что-то там показать. Я решил не тратить на него своё время и просто послал на 3 весёлых буквы и кинул репорт.

Как не попадаться на подобные схемы?

2. Не торопитесь, чаще всего такие кидалы не заморачиваются над самими картинками, поэтому на скриншотах часто бывают несостыковки. Как видите, скрин был сделан за спецназ, но этот дурачок пишет, что играл за теров.

Что делать если вы уже нажали на картинку и вам угрожают?

1. Перезагрузите роутер. Ваш айпи в таком случае должен смениться.
2. На всякий случай перезагрузите компьютер. Затем зайдите в диспетчер задач (ctrl + alt + delete) и проверьте разделы "автозагрузка" и "подробности" на наличие там подозрительных процессов.
3. Закиньте разводилу в чс и на время закройте профиль. Буквально на пару часов. Этого хватит, чтобы мошенник про вас забыл.
4. Киньте репорт в Steam на этого человека.

Всем спасибо за прочтение, берегите себя и свои аккаунты!
Буду благодарен, если вы оцените эту статью своим комментарием,
Успехов вам!

Всем привет. В данном блоге будет описано как могут взломать ваш игровой стим аккаунт мошенники и как от этого защититься.

Зачем вы вообще нужны мошенникам?

Преступникам могут быть интересны ваши игровые вещи, так и сам аккаунт. Потому что их можно продать за фиатные деньги.

Поговорим о том, как у Вас могут украсть информацию.

Существует два основных варианта хищения Вашей информации:

1. С помощью программы, которая отсылает с Вашего компьютера информацию злоумышленнику. Говоря простыми словами - это вирус (шпион, кейлогер, троян и прочие неприятные программы).
2. Пользователь добровольно передаёт информацию об аккаунте.

“Как?”- спросите Вы.

Всё очень просто. Обычно таким способом являются фишинговые сайты. Если кратко, то это сайты клоны, которые имеют идентичный вид оригинального сайта, но с другим адресом (доменом). Адрес обычно очень похож на адрес настоящего сайта, и визуально его можно принять за настоящий, если не присматриваться (а часто ли Вы смотрите на адрес сайта, когда переходите по ссылке?). Отличие может быть в одной букве по типу: mn, nn, mm или nm от полного адреса.

hттр://stеаmcomnunity(точка)com - а это уже мог быть фишинговый сайт, который возможно прислал бы Ваш недавно добавленный (или же который в друзьях давно, но у него похитили Steam-аккаунт и под его видом Вам пишут) “друг” и попросил бы ему помочь голосованием или же сказал бы, что зайдя туда, можно получить случайную игру из Steam в подарок бла-бла-бла.

Вот пример фишинга через рекламу от гугла. Сайт ни в коем случае не реклама, просто пример. Мошенники купили домен и создали клон обменника, для того, чтобы люди обменивали свои скины. Пользователи заливают свои игровые предметы, но вот обратно их забрать не дают, или забрать другие по аналогичной стоимости. Защититься от подобного можно, сохранив списки нужных сайтов в закладки.

Вообще про фишинг в интернете можно прочитать много. Ниже приложу видео, где это даже показывается как пример. Без некоторых нюансов, чтобы любой "ламер" не смог повторить, но в целом легкость процесса понятна

Бывают более продуманные ходы со стороны похитителя информации.
Он может изначально выслеживать Вашу сетевую активность (когда вы бываете онлайн и когда вы играете) и подружиться во время игры, например. Это нужно лишь для того, чтобы он не был для Вас другом из ниоткуда.
Дальше начнёт изучать Ваш список друзей и анализировать активность общения (вычислить того, с кем часто общаетесь).

После этого, в один прекрасный момент, он полностью переделает свой профиль под профиль Вашего друга (будут максимально похоже совпадать имена, аватарки и прочая информация об аккаунте) и пойдёт с Вами на контакт. После он может, например, попросить у вас какой-нибудь скин, или расскажет о супер халявной рулетке, которая раздает халяву, и для того, чтобы ее забрать, нужен депозит. Или авторизация через фишинговый сайт.

Так как защитить свой Steam-аккаунт?
Надо помнить, что на 99.99% защита аккаунта зависит от самого пользователя. Если пользователь не желает быть осторожным и внимательным, то такого пользователя не спасёт ни одна защита и никакие советы (за исключением тех, которые призывают к осторожности и внимательности) не помогут.

Это нужно для того, чтобы защитить себя от разного рода вредоносных программ.
Если Вы являетесь опытным пользователем или же у Вас установлена операционная система, которая не имеет вредоносных программ, то можете пропустить этот шаг.

2)Необходимо обзавестись надёжным почтовым сервисом.

Электронная почта - это основа Вашего Steam-аккаунта. Поэтому, нам нужна такая электронная почта, которая смогла бы предоставить защиту даже в том случае (это для подстраховки), если на Вашем компьютере имеется вредоносная программа.

Данным способом защиты почтового ящика является - двухфакторная авторизация В таком случае, украсть Ваш почтовый ящик не представиться возможным.
Ведь для входа с другого компьютера или же для изменения пароля потребуется код подтверждения, который высылается на Ваш мобильный аппарат в виде СМС.

Рекомендую использовать электронную почту от Google.

Корпорация Valve разработала дополнительную защиту для Steam-аккаунта - Steam Guard.
Принцип работы у данной защиты тот же, что и у верификации почтового ящика. С разницей лишь в том, что код подтверждения высылается в мобильное приложение.

Никто не должен знать Ваш пароль.
Администрация Steam никогда не будет у Вас спрашивать его, НИ-КОГ-ДА и ни при каких обстоятельствах! Ведь она при необходимости может его просто сменить через техническую поддержку, если у Вас с этим имеются какие-либо проблемы.

Если к Вам добавился в друзья “администратор Steam” или же другая личность, сообщающая о необходимости представлении ему Вашего логина и пароля от Steam и от почтового ящика в целях проверки Вас, то смело заходите ему в профиль и сообщайте о том, что с данного аккаунта происходит мошенническая деятельность.

И конечно же, не вводите данные от аккаунта на поддельных сайтах и не попадайтесь на уловки Ваших “друзей” о которых писалось выше!

Но в тот же момент авторизовываться через стим вполне безопасно, если вы уже авторизовались в стиме по оригинальной, не фишинговой ссылке. Потому что авторизация через стим осуществляется через публичные данные.

Привяжите свой аккаунт к Вашему основному номеру мобильного телефона.
Связав свой аккаунт с номером телефона, Вы сможете восстановить доступ к аккаунту в случае его кражи или потери пароля, или же если у Вас нет доступа к своей электронной почте или к мобильному приложению Steam.

Это можно сделать тут

Скачав приложение Steam на свой смартфон, Вы сможете активировать Steam Guard Mobile Authenticator (Мобильный аутентификатор Steam Guard) и тем самым, обеспечив свой аккаунт ещё более прогрессивной защитой. Это аналогично с почтовым Steam Guard, разница лишь в том, что при заходе в аккаунт, Вам необходимо зайти в мобильное приложение Steam и ввести оттуда код подтверждения, который меняется каждые 30 секунд.

В Steam можно выставить настройки, которые позволят скрыть Ваш профиль от посторонних глаз.
Проследуйте на страницу Вашего профиля и нажмите на “Редактировать профиль> Мои настройки приватности” и настройте под себя.

Необязательно его скрывать от всех, так как некоторых пользователей подобные профили настораживают.

steam - настройки - семья - управление семейным просмотром. почту желательно указать другую, отличную от стима

Сохраняя свой пароль в браузере, его легко могут похитить стиллером, и подобными вредоносными программами. Неплохо себя показали такие менеджеры паролей, как KeePass, Kaspersky Password Manager, LastPass. В них можно хранить все пароли в одном месте. И для доступа ко всем ресурсам не обязательно запоминать пароль каждого. Достаточно запомнить пароль от менеджера паролей, в котором данные шифруются. А при вводе паролей через клавиатуру их могут похитить кейлоггером.

Для тех, кто боится менеджеров паролей, их создают корпорации, которые несут юридическую ответственность за сохранность данных, у них есть лицензионное соглашение. И если они его нарушат, и реально что-то передадут, у них будут очень большие проблемы, которые не соизмеримы с их возможной выгодой за слив данных.

10) Хотя бы раз в месяц проверяйте компьютер на вирусы сторонним антивирусным решением.

Например Dr.Web CureIt и Kaspersky Virus Removal Tool, которые не требуют установки.

Теперь Вы надёжно защитили свой Steam-аккаунт!

Достаточно помнить то, что Вы прочитали тут и следовать этому в дальнейшем!

При создании данного блога использовалась информация из данного гайда, но было дополнено лично мной в связи с актуальностью и новыми данными.

Данная информация актуальна для любых сайтов. Включая соцсети, и любые, где хранятся важные для вас данные

Читайте также:

  
• Как отписаться от кион мтс на компьютере
  
• Не могу зайти на госуслуги с компьютера
  
• Гольф 6 схема звукового сигнала
  
• Внешняя звуковая карта для подключения микрофона
  
• Спящий режим ccleaner что это