Как взломать аккаунт стим с мобильным аутентификатором

Как я взломал 4000 Steam-аккаунтов

История произошла не со мной, а с одним человеком, очень похожим на меня. Но для нашего удобства, я буду рассказывать эту историю от первого лица.

Я думаю почти каждый, кто играет или играл хоть какие то игры в стиме думал о том, как было бы здорово заполучить аккаунт другого человека. Допустим для того, что бы иметь возможность играть в игры, которые не можешь себе позволить, забрать какие то скины или просто отомстить своему обидчику. Так уж сложилось, что в свое время мне удалось взломать более 4 тысяч стим-аккаунтов. Ну, как взломать. Правильнее будет сказать – просто заполучить доступ. И сейчас я расскажу как именно я это сделал.

Все началось где то 8-9 лет назад, когда я еще учился в школе. Я тогда особо ничего не знал про стим, что это такое и с чем его едят. Ко мне доходила какая то инфа, что там в контру играют профессионалы и один одноклассник даже предложил мне купить у него аккаунт.Ну я подумал, что я не профи, да и спокойно играю с друзьями в пиратскую версию, а здесь еще и деньги тратить. Нахера оно мне надо. И через какое то время я наткнулся на ютубе на розыгрыш лефт 4 дед 2 от какого-то ноунейм блогера. Призовых мест было 3 штуки и я решил, что ради халявы можно попробовать. Условия конкурса просты – есть 10 скриншотов из игр и нужно написать названия каждой из них на почту этого самого блогера. Я тогда еще не знал про поиск по картинкам в гугле, а может его тогда и вовсе не было, по этому некоторые отгадывал сам, а про некоторые спрашивал на разных форумах. В итоге я занял 3-е место и выиграл свою игрушку. Мне пришлось срочно регистрироваться в стиме и разбираться, что да как там. На тот момент я даже переспрашивал у того блогера, куда мне добавлять игру, в библиотеку или инвентарь, настолько я плохо разбирался в том, как это все работает. Немного поиграл в лефт 4 дед 2, мне она очень понравилась, особенно тот факт, что я играю с другими настоящими людьми по интернету. До этого такая возможность была не во многих бесплатных играх, либо они просто были отстойными. Я посмотрел, что в стиме есть еще много разных крутых игр, которые можно играть по мультиплееру или кооперативу и немного порылся по чужих аккаунтах с завистью. Ведь у них были десятки, а то и сотни интересных игр, которые я просто не мог себе позволить. В этот момент я решил, что было бы круто заполучить доступ к одному из таких аккаунтов и начал придумывать свой план.

В итоге я придумал один способ, который изначально был ориентирован на глупых школьников, потому что никто другой просто не повелся бы.

Я зарегистрировал электронную почту, что-то типа steam.faq.ru@gmail.com, она немного отличалась, но суть была такой же – псевдо-официальная почта Steam-поддержки.

После этого я записал видео о том, как, якобы, можно бесплатно получить любую игру для стима.

Я немного подготовился, создал кучу ярлыков новых игр на рабочем столе, что бы была иллюзия того, что способ работает.

И начал, собственно, втирать дичь.

Я рассказал о том, что иногда люди, которые покупают игры в стиме, замечают, что эти игры просто напросто не появляются в их библиотеке. То есть, это какой-то баг.

После чего они пишут на электронную почту стим-поддержки письмо, мол

-Я купил в стиме такую-то игру, но она не появилась в моей библиотеке. Прошу добавить мне эту игру.

Так же я добавил, что стим поддержка эта, русскоговорящая, то есть все работники наши и как следует ожидать, они плохо выполняют свою работу, по этому даже не будут проверять правда ли это. Просто добавят вам эту игру.

Для формальности, что бы эта заявка сработала, нужно указать некоторую свою информацию

-Свой логин в стиме

-Пароль указывать, естественно не надо, потому что они и так его знают и везде говорят, что никому нельзя писать свой пароль от стима, ради своей же безопасности.

Дальше – своя электронная почта

и пароль от нее, что бы стим-поддержка убедилась в том, что этот аккаунт, действительно, принадлежит тебе.

На этом и заключалась вся загвоздка. Я навешал лапши науши в том моменте, где говорил, что не нужно указывать пароль от стим-аккаунта, тем самым войдя в доверие школьников, а потом убедил в том, что указывать пароль от электронной почты – не страшно и это просто формальность. На тот момент мало кто знал о какой-либо элементарной кибербезопасности.

В конце я еще добавил, что такие письма можно отправлять раз в неделю, но не чаще, потому что могут спалить. Но даже если спалят, аккаунт не заблокируют, а просто выдадут предупреждение. То есть совсем никакого риска.

Теперь я залил это видео на ютуб и немного раскидал его по разным форумам, а дальше просмотры сами пошли.

Под видео я с нескольких аккаунтов оставил позитивные комментарии и лайки. Дальше негативные удалял, а позитивные и новые лайки приходили сами собой.

На почту каждый день приходило более 50 писем с данными про аккаунты.

Мне оставалось только заходить на их почту, восстанавливать пароль от аккаунта в стиме, а потом менять почту аккаунта на мою. Тогда еще не было защиты с помощью мобильного телефона.

Таким образом я получил доступ к многим аккаунтам и играм. Но тогда я еще ничего не знал про скины.

Дальше я еще раз повторил подобное, но что бы мне было легче просил уточнять среди всей формальной инфы, помимо логина и прочего еще количество игр на аккаунте и текущий баланс. В итоге мне пришло больше 4-х тысяч стим-аккаунтов. Были и те, где больше 100 игр, где было скинув на сотни долларов и так далее.

Когда мне писали и очень просили вернуть аккаунт, я обычно возвращал. Мне было их жалко в тот момент.

В дальнейшем я прекратил это дело, потому что понимал, что уровень этой обиды и грусти людей, которые потеряли аккаунты, он сильнее, чем уровень той радости, что я получал от новых аккаунтов.

Я понимаю, что поступал неправильно и мне искреннее жаль тех школьников. Некоторые вернули свои аккаунты через настоящую стим-поддержку, ну а некоторые так и остались у меня. В какой-то момент я просто их раздал на одном из форумов.

Вот и вся история. Не советую повторять это, потому что, во-первых, как минимум, сейчас такое не прокатит, во-вторых, это плохой поступок.

Чисто гипотетически я смог бы придумать и сейчас способ заполучения чужих стим-аккаунтов, но делать этого не стану и вам не советую.

Steam Stealers: ваш Steam-аккаунт — их добыча

Киберпреступники ежемесячно взламывают 77,000 аккаунтов Steam. Как это возможно?

Киберпреступников как магнитом притягивает к различным веб-ресурсам, вокруг которых крутится много денег. Эта участь не миновала и Steam: согласно подсчетам Valve (компании, создавшей сервис Steam), 77 тысяч его пользователей ежемесячно теряют деньги, игровые предметы и даже учетные записи.

Как сообщает корпорация Valve, эти жертвы — далеко не всегда новички или наивные пользователи. Напротив, от атак хакеров часто страдают профессиональные игроки в «Counter-Strike: Global Offensive», участники сообществ на веб-ресурсе Reddit и торговцы игровыми предметами. Steam признает, что торговля ворованными игровыми товарами и аккаунтами превратилась в новый, весьма прибыльный подпольный бизнес.

Современные технологии позволяют киберпреступникам ждать месяцами, пока тот или иной троянец заразит систему и принесет прибыль. Зловредов так много, и они так хорошо распространены, что судьба одного конкретного образца вовсе не критична для его создателей. Получается, что под удар попадает буквально каждый пользователь Steam.

Специалисты «Лаборатории Касперского» решили выяснить, насколько плохи дела на игровом рынке. Как оказалось, эксперты команды GReAT поначалу сильно недооценили масштабы проблемы — столько угроз они обнаружили. При благоприятном развитии обстоятельств эта инициатива превратится в масштабное расследование.

Почему пользователи Steam регулярно становятся жертвами мошенников и что с этим делать: https://t.co/1t4ledPRwv pic.twitter.com/uUY42dltZx

Троянец-как-услуга — полный пакет для воровства игр

Сообщество Steam функционирует так же, как любая другая социальная сеть, в которой пользователи добавляют в друзья знакомых и незнакомцев, обмениваются сообщениями и торгуют игровыми предметами. Наконец, недешевые купленные игры привязаны к вашему аккаунту, что делает его даже более ценным, чем в других соцсетях. Поэтому как обычный, так и целевой фишинг широко распространен в Steam, но на этих видах атак арсенал киберпреступников не заканчивается.

Оказалось, что воры аккаунтов Steam Stealers приносят злоумышленникам еще больше денег. К сожалению, их создают и распространяют не какой-то один кибермошенник и даже не группа преступников, а целый легион разных банд.

Мы уже наблюдали похожую ситуацию, когда хакеры зарабатывали, продавая свои разработки «как услугу» своим менее квалифицированным коллегам. За отдельную плату такого троянца можно проапгрейдить, добавив к нему разные интересные возможности, получить руководство пользователя и даже индивидуальную консультацию по «продвижению» — обману и воровству. И на этом список вредоносных услуг не заканчивается.

В результате с настройкой этих троянцев справится и новичок, делающий первые шаги в мире киберпреступности. Программисту, владеющему хоть какими-нибудь навыками разработки, будет еще проще.

Еще одна плохая новость: Steam Stealers продаются по очень низким ценам. Обычно троянцы-как-услуга стоят по $500 за образец, тогда как цены на Steam Stealers начинаются от 200 рублей. Если доплатить еще 250, покупатель получит полное руководство пользователя и исходный код зловреда, который пригодится, чтобы модифицировать его под свои нужды. Да, сейчас мы говорим о самом дешевом варианте, но на самом деле довольно сложно найти такого троянца-вора для Steam, который стоил бы больше $30.

Еще одна популярная услуга «по запросу», предлагаемая торговцами Steam Stealers, — это создание фишингового сайта, копирующего один из популярных у геймеров веб-сервисов, например голосовые чаты вроде TeamSpeak или RazerComms либо сервисы обмена картинками вроде Lightshot или Imgur. Такие копии изрядно помогают преступникам, которые охотятся за логинами и паролями пользователей.

Старые приемы на новый лад

Тот момент, когда вы авторизуетесь в Steam, — самый важный для киберпреступников, ведь именно в это время проще всего украсть ваши логин и пароль. Поэтому поддельное ПО Steam Login по-прежнему популярно среди хакеров. Некоторые версии этого троянца научились даже отправлять киберпреступникам файлы конфигураций Steam Guard. Кроме того, это ПО написано на широко известном языке Microsoft — C#. А это означает, что многие люди знают, как усовершенствовать такую программу.

Что интересно, киберпреступники выучили урок из легенды о Вавилонской башне: весь исходный код их программного обеспечения задокументирован и доступен для изучения на разных языках, что только способствует распространению зловреда.

Как оказалось, распространение троянца, заточенного под конкретный регион, — залог успеха. Например, в России и русскоговорящих странах легко можно найти локализированную версию троянца-вора, а Steam в России очень и очень популярен — целей для атак хоть отбавляй.

Если вдруг еще не читали про новый способ отъема денег у любителей ВК и взломанных игр — http://t.co/tmviLrRBho pic.twitter.com/TZuIjAE8WU

Во время расследования эксперты GReAT обратили внимание на то, что используемые хакерами способы обмана эволюционируют: поддельные скриншоты начинают выглядеть более достоверными, фальшивые сайты становятся все больше похожи на оригиналы, появляются новые способы доставки троянов, а боты кажутся более похожими на людей. Хотя 2016 год только начинается, угроз уже немало, и количество специализированных атак для Steam будет только расти. Подробнее о нашем исследовании вы можете прочесть на Securelist.

А что делает Valve для защиты пользователей?

В конце 2015 года число пользователей Steam перевалило за 12 млн. Как видите, перед хакерами, по сути, огромное пространство для атаки, которое привлекает все новых и новых преступников.

Корпорация Valve весьма обеспокоена сложившейся ситуацией, и сейчас она вводит множество новых мер безопасности. Плохие парни тоже не дремлют — они исследуют защиту Steam в попытке обнаружить новые лазейки и потенциальные уязвимости. В этом непрекращающемся сражении побеждает тот, кто находится все время на шаг впереди.

Проблема Steam в том, что этот сервис создавался для развлечений. Поэтому ему все время приходится балансировать между безопасностью и удобством использования. Многие геймеры не готовы пожертвовать своим комфортом ради защиты.

Если сервис пока не может одержать верх в этой битве с хакерами, придется пользователям взять дело в свои руки.

Как обойти guard в Steam

Не смотря на то, что разработчики Valve сделали Steam Guard Mobile аутентификатор практически обязательным к использованию, в некоторых случаях появляется необходимость в его отключении. В этой статье пойдет речь об отключении аутентификатора на аккаунте пользователя. Необходимость появляется при потере телефона с аутентификатором или удалении его со Steam Guard Mobile. В случае удаление мы теряем настройку, которая связывает установку аутентификатора с аккаунтом Стим пользователя.

Отвязываем мобильный аутентификатор

Восстановить BackUp Steam Guard аутентификатор, который мы предусмотрительно сделали сторонней программой, например Titanium BackUp. Отсутствие БэкАпа на странице запроса кода нажимаем на пункт «Мне нужна помощь».

Далее, нажимаем на кнопку «Отвязать аутентификатор».

Если к аккаунту был привязан номер мобильного телефона, то на него придет СМС с кодом, который необходимо ввести в дальнейших шагах.

Для этого необходима старая сим-карта. Однако, если пользователь потерял телефон, то ее можно восстановить бесплатно в любом офисе. На восстановленную симку получаем код и отвязывает аутентификатор.

Отвязываем Steam Guard с помощью кода восстановления

Код восстановления отображается в тот самый момент, когда пользователь подключается Steam Guard аутентификатор. Его необходимо было записать, сохранить на источнике, поскольку доступа к нему больше не появится.

Если пользователь знает свой код восстановления, необходимо выбрать пункт «Отвязать с помощью кода восстановления» и ввести символы.

Внимание!! Код вводится не в обычное поле, где мы вводим коды из приложения, а в специальное поле для ввода кода восстановления в меню «Отвязать мобильный аутентификатор Steam». Такой способ помогает обойти блокировку Стим. Код восстановления всегда начинается с латинской буквы R.

У некоторых пользователь программа пишет следующую ошибку

Дело в том, что клиент Steam часто подвисает в этой части. Поэтому, если появляется такая ошибка, необходимо отвязать аутентификатор не через клиент, а через сайт Steam (через браузер).

На официальном сайте Стима переходим в раздел технической поддержки и нажимаем на кнопку «Введите код восстановления мобильного аутентификатора Steam Guard (начинается с буквы «R»)». Далее, следуя подсказкам, находите свой аккаунт, вводите код восстановления – мобильный защитник будет отключен.

Тем не менее на официальном сайте может отображаться следующая ошибка:

Решение проблемы – зайти на официальный сайт с мобильного телефона, но при этом интернет должен быть через сим-карту. Открываем браузер на телефоне и выполняем все те же самые шаги, которые не получилось выполнить на компьютере. В ином случае – остается ждать от 2 до 7 дней.

Также бывают такие интересные ситуации, когда недоброжелатели использую ваш IP в запросах на восстановление, тем самым ваш IP блокируется.

При отсутствии всего необходимого для восстановления необходимо создать аккаунт поддержки Steam Support. Мы настоятельно рекомендуем зарегистрировать его на другой почтовый ящик. Не на тот же, на который зарегистрирован основной аккаунт.

Это дополнительная защита от «Угона» почты, поскольку, если почта одна для двух аккаунтов – «пиши пропало» для всего и сразу. Если завладевший вашей почтой похититель получит еще и ваш аккаунт технической поддержки, то он узнает и другие ценные данные, которые позволят ему вечно угонять ваш аккаунт, о чем и пойдет речь далее.

Создаем новую почту

Указываем справа логин аккаунта, на котором необходимо отвязать Стим Гуард. Далее, пишет что-то вроде «прошу отвязать мобильный аутентификатор на моем аккаунте». Если была смена почты, то желательно здесь указать ящик, на который аккаунт был зарегистрирован изначально.

Самое главное – необходимо приложить доказательства, что аккаунт действительно ваш. Ели к аккаунту привязаны какие-то игры, которые вы покупали на дисках в виде кода активации, приложите фотографию диска, где видно этот самый код. Если вы пополняли счет аккаунта, то стоит приложить фото чека. Далее, отправляем сообщение и ждем.

FUCK 2FA! Обходим двухфакторную аутентификацию с помощью Modlishka

Содержание статьи

• Экскурс в 2FA
• Modlishka
• Поднимаем стенд
• Ловим учетные данные и сессию жертвы
• Готовый комплект за NAT
• Взломать хакера
• Выводы

Экскурс в 2FA

Во времена, когда сайты работали по HTTP и о защите толком никто и не думал, перехватить трафик с учетными данными было совсем несложно. Потом трафик стали шифровать, и хакерам пришлось придумывать более изощренные способы подмены и перенаправления маршрутов. Казалось бы, двухфакторная аутентификация окончательно решила проблему, но все дело в деталях ее реализации.

Метод 2FA (Two-Factor authentication) был придуман как дополнительный способ подтверждения владельца аккаунта. Он основан на нескольких способах аутентификации:

• пользователь что-то знает (например, может ответить, какая была девичья фамилия его матери или кличка первого домашнего питомца);
• пользователь обладает уникальными чертами, которые можно оцифровать и сравнить (биометрическая аутентификация);
• пользователь имеет девайс с уникальным идентификатором (например, номер мобильного, флешку с ключевым файлом).

Первый метод еще встречается при восстановлении паролей по контрольным вопросам. Для регулярного использования он не годится, так как ответы не меняются и могут быть легко скомпрометированы. Второй способ чаще применяется для защиты данных на мобильных гаджетах и для авторизации клиентских приложений на серверах.

Самый популярный метод 2FA — третий. Это SMS с проверочными кодами, генерируемыми по технологии OTP. Код приходит каждый раз разный, поэтому угадать его практически невозможно.

Однако чем сложнее преодолеть защиту техническими методами, тем легче бывает это сделать социальной инженерией. Все настолько уверены в надежности 2FA, что используют ее для самых ответственных операций — от авторизации в Google (а это сразу доступ к почте, диску, контактам и всей хранимой в облаке истории) до систем клиент-банк.

При этом возможность обхода такой системы уже показывал австралийский исследователь Шабхэм Шах (Shubham Shah). Правда, его метод был довольно сложен в практической реализации. В нем использовалась авторизация по звонку, а не SMS, а предварительно нужно было узнать номер телефона жертвы и часть учетных данных. PoC был не особо убедительным, но наметил вектор атаки.

Modlishka

В начале 2019 года польский исследователь Пётр Душиньский (Piotr Duszyński) выложил в открытом доступе реверс-прокси Modlishka. По его словам, этот инструмент может обойти двухфакторную аутентификацию, что мы сейчас и проверим.

Если сравнить его с тем же SEToolkit (он встроен практически во все популярные дистрибутивы для пентеста), то разница вот в чем: SET клонирует и размещает на локальном сервере страницу авторизации. Там все основано на работе скриптов, которые перехватывают вводимые учетные данные жертвы. Можно, конечно, настроить редирект на оригинальный сайт, но трафик от жертвы до твоего сервера будет незашифрованным. По сути, такого рода программы выступают в роли web-серверов с поддельным (фишинговым) сайтом.

Modlishka действует иначе. Генерируется свой сертификат, которым шифруется соединение от жертвы до нашего сервера (чтобы не палиться). Затем эта машина выступает в роли обратного прокси.

Другими словами, весь трафик идет на оригинальный сайт с инстанцией на нашем сервере. У хакера остаются учетные данные, и захватывается авторизованная сессия жертвы. Классическая MITM-атака, которую предваряет фишинг (нужно как-то заставить жертву установить поддельный сертификат и направить ее на фейковый сайт).

WARNING

Статья написана в образовательных целях. Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный изложенными здесь материалами.

Поднимаем стенд

Давай поднимем сервер с Modlishka внутри локальной машины. Я сделаю это на примере Kali Linux, но принципиальной разницы для других дистрибутивов не будет — разве что слегка изменится путь к исходникам Go.

Вначале ставим Go — на этом языке написан реверс-прокси, и без Go он не скомпилируется.

Следом указываем путь к директории исходников:

Проверить все можно командой

В выводе должен быть указан GOPATH.

Вывод команды

Затем клонируем ветку с инструментом.

Теперь необходимо перенести содержимое ключа и сертификата в файл plugin/autocert.go и заменить значение двух переменных:

• const CA_CERT — значение сертификата (файл pem);
• const CA_CERT_KEY — значение ключа (файл key).

Файл autocert.go после замены сертификата

Теперь собираем все это дело:

Занимает компиляция от трех до десяти минут в зависимости от количества вычислительных ресурсов.

Сам запускаемый файл находится в директории dist/ под названием proxy . Для проверки можно запустить с ключом -h — вывод справки.

Вывод справки программы Modlishka

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Как защитить свой стим аккаунт от злоумышленников

Всем привет. В данном блоге будет описано как могут взломать ваш игровой стим аккаунт мошенники и как от этого защититься.

Зачем вы вообще нужны мошенникам?

Преступникам могут быть интересны ваши игровые вещи, так и сам аккаунт. Потому что их можно продать за фиатные деньги.

Поговорим о том, как у Вас могут украсть информацию.

Существует два основных варианта хищения Вашей информации:

1. С помощью программы, которая отсылает с Вашего компьютера информацию злоумышленнику. Говоря простыми словами – это вирус (шпион, кейлогер, троян и прочие неприятные программы).
2. Пользователь добровольно передаёт информацию об аккаунте.

“Как?”- спросите Вы.

Всё очень просто. Обычно таким способом являются фишинговые сайты. Если кратко, то это сайты клоны, которые имеют идентичный вид оригинального сайта, но с другим адресом (доменом). Адрес обычно очень похож на адрес настоящего сайта, и визуально его можно принять за настоящий, если не присматриваться (а часто ли Вы смотрите на адрес сайта, когда переходите по ссылке?). Отличие может быть в одной букве по типу: mn, nn, mm или nm от полного адреса.

steamcommunity.com – это настоящий адрес сообщества Steam. Здесь можно не бояться и вводить данные для входа в свой аккаунт.

hттр://stеаmcomnunity(точка)com – а это уже мог быть фишинговый сайт, который возможно прислал бы Ваш недавно добавленный (или же который в друзьях давно, но у него похитили Steam-аккаунт и под его видом Вам пишут) “друг” и попросил бы ему помочь голосованием или же сказал бы, что зайдя туда, можно получить случайную игру из Steam в подарок бла-бла-бла.

Вот пример фишинга через рекламу от гугла. Сайт ни в коем случае не реклама, просто пример. Мошенники купили домен и создали клон обменника, для того, чтобы люди обменивали свои скины. Пользователи заливают свои игровые предметы, но вот обратно их забрать не дают, или забрать другие по аналогичной стоимости. Защититься от подобного можно, сохранив списки нужных сайтов в закладки.

Еще оригинальность сайта можно определить по сертификату безопасности SSL. Доступно при защищенном https соединении (при авторизации например). Прошу обратить внимание, что подделать сертификат практически невозможно.

Вообще про фишинг в интернете можно прочитать много. Ниже приложу видео, где это даже показывается как пример. Без некоторых нюансов, чтобы любой “ламер” не смог повторить, но в целом легкость процесса понятна

Бывают более продуманные ходы со стороны похитителя информации.
Он может изначально выслеживать Вашу сетевую активность (когда вы бываете онлайн и когда вы играете) и подружиться во время игры, например. Это нужно лишь для того, чтобы он не был для Вас другом из ниоткуда.
Дальше начнёт изучать Ваш список друзей и анализировать активность общения (вычислить того, с кем часто общаетесь).

После этого, в один прекрасный момент, он полностью переделает свой профиль под профиль Вашего друга (будут максимально похоже совпадать имена, аватарки и прочая информация об аккаунте) и пойдёт с Вами на контакт. После он может, например, попросить у вас какой-нибудь скин, или расскажет о супер халявной рулетке, которая раздает халяву, и для того, чтобы ее забрать, нужен депозит. Или авторизация через фишинговый сайт.

Так как защитить свой Steam-аккаунт?
Надо помнить, что на 99.99% защита аккаунта зависит от самого пользователя. Если пользователь не желает быть осторожным и внимательным, то такого пользователя не спасёт ни одна защита и никакие советы (за исключением тех, которые призывают к осторожности и внимательности) не помогут.

1)Установите антивирусную защиту на Ваш компьютер.

Это нужно для того, чтобы защитить себя от разного рода вредоносных программ.
Если Вы являетесь опытным пользователем или же у Вас установлена операционная система, которая не имеет вредоносных программ, то можете пропустить этот шаг.

2)Необходимо обзавестись надёжным почтовым сервисом.

Электронная почта – это основа Вашего Steam-аккаунта. Поэтому, нам нужна такая электронная почта, которая смогла бы предоставить защиту даже в том случае (это для подстраховки), если на Вашем компьютере имеется вредоносная программа.

Данным способом защиты почтового ящика является – двухфакторная авторизация В таком случае, украсть Ваш почтовый ящик не представиться возможным.
Ведь для входа с другого компьютера или же для изменения пароля потребуется код подтверждения, который высылается на Ваш мобильный аппарат в виде СМС.

Рекомендую использовать электронную почту от Google.

3) Обязательно активируйте Steam Guard.

Корпорация Valve разработала дополнительную защиту для Steam-аккаунта – Steam Guard.
Принцип работы у данной защиты тот же, что и у верификации почтового ящика. С разницей лишь в том, что код подтверждения высылается в мобильное приложение.

5) Никому не сообщайте свой логин и пароль.

Никто не должен знать Ваш пароль.
Администрация Steam никогда не будет у Вас спрашивать его, НИ-КОГ-ДА и ни при каких обстоятельствах! Ведь она при необходимости может его просто сменить через техническую поддержку, если у Вас с этим имеются какие-либо проблемы.

Если к Вам добавился в друзья “администратор Steam” или же другая личность, сообщающая о необходимости представлении ему Вашего логина и пароля от Steam и от почтового ящика в целях проверки Вас, то смело заходите ему в профиль и сообщайте о том, что с данного аккаунта происходит мошенническая деятельность.

И конечно же, не вводите данные от аккаунта на поддельных сайтах и не попадайтесь на уловки Ваших “друзей” о которых писалось выше!

Но в тот же момент авторизовываться через стим вполне безопасно, если вы уже авторизовались в стиме по оригинальной, не фишинговой ссылке. Потому что авторизация через стим осуществляется через публичные данные.

6) Привязка аккаунта к номеру мобильного телефона.

Привяжите свой аккаунт к Вашему основному номеру мобильного телефона.
Связав свой аккаунт с номером телефона, Вы сможете восстановить доступ к аккаунту в случае его кражи или потери пароля, или же если у Вас нет доступа к своей электронной почте или к мобильному приложению Steam.

Это можно сделать тут

Скачав приложение Steam на свой смартфон, Вы сможете активировать Steam Guard Mobile Authenticator (Мобильный аутентификатор Steam Guard) и тем самым, обеспечив свой аккаунт ещё более прогрессивной защитой. Это аналогично с почтовым Steam Guard, разница лишь в том, что при заходе в аккаунт, Вам необходимо зайти в мобильное приложение Steam и ввести оттуда код подтверждения, который меняется каждые 30 секунд.

7) Настройка приватности Вашего профиля.

В Steam можно выставить настройки, которые позволят скрыть Ваш профиль от посторонних глаз.
Проследуйте на страницу Вашего профиля и нажмите на “Редактировать профиль> Мои настройки приватности” и настройте под себя.

Необязательно его скрывать от всех, так как некоторых пользователей подобные профили настораживают.

8) Включите родительский контроль

steam – настройки – семья – управление семейным просмотром. почту желательно указать другую, отличную от стима

9) Пользуйтесь менеджерами паролей.

Сохраняя свой пароль в браузере, его легко могут похитить стиллером, и подобными вредоносными программами. Неплохо себя показали такие менеджеры паролей, как KeePass, Kaspersky Password Manager, LastPass. В них можно хранить все пароли в одном месте. И для доступа ко всем ресурсам не обязательно запоминать пароль каждого. Достаточно запомнить пароль от менеджера паролей, в котором данные шифруются. А при вводе паролей через клавиатуру их могут похитить кейлоггером.

Для тех, кто боится менеджеров паролей, их создают корпорации, которые несут юридическую ответственность за сохранность данных, у них есть лицензионное соглашение. И если они его нарушат, и реально что-то передадут, у них будут очень большие проблемы, которые не соизмеримы с их возможной выгодой за слив данных.

10) Хотя бы раз в месяц проверяйте компьютер на вирусы сторонним антивирусным решением.

Например Dr.Web CureIt и Kaspersky Virus Removal Tool, которые не требуют установки.

Теперь Вы надёжно защитили свой Steam-аккаунт!

Достаточно помнить то, что Вы прочитали тут и следовать этому в дальнейшем!

При создании данного блога использовалась информация из данного гайда, но было дополнено лично мной в связи с актуальностью и новыми данными.

Также прошу обратить внимание на официальную страницу стима с информации о безопасности аккаунта. support.steampowered.com/kb_article.php?l=russia..

Данная информация актуальна для любых сайтов. Включая соцсети, и любые, где хранятся важные для вас данные