rhaul escribió:Lo que me sorprende es que sea tan facil robar la cuenta con un simple enlace, que ha pasado con la confirmacion del movil?
Que la segunda ventana emergente que te solicita el servidor donde ingreses el código es también una ventana falsa pero de aspecto idéntico a la real y mucha gente no sabe que la raíz a través de la cual controlan tu cuenta de Steam es generando una
clave API (autentificador único). Traduzco un articulo interesante:
https://forums.steamrep.com/pages/hijacking/Cómo ha evolucionado el phishing en Steam:En el pasado, tan pronto como le enviabas a un estafador tu contraseña, era extremadamente obvio que habías sido hackeado: te echaban de tu cuenta de Steam y el estafador cambiaba rápidamente la contraseña para mantenerte alejado mientras él intercambiaba todos tus artículos. Por un tiempo, el Soporte de Steam restauraba tus artículos "duplicándolos" pero desde hace un tiempo han tomado la firme postura de que nunca restaurarán ningún artículo robado , sin importar cómo sucedió,
https://support.steampowered.com/kb_art ... &l=spanish.
El equipo de Soporte de Steam ya no restablece objetos perdidos. A menudo, los objetos cambian de propietario varias veces antes de que se produzca la solicitud de restablecimiento, por lo que habría que duplicar el objeto o retirarlo del inventario de un usuario inocente. Duplicar objetos tiene un efecto negativo para los usuarios que realizan intercambios o usan el Mercado, puesto que devalúa los objetos.
Hoy en día, los estafadores son muy astutos al respecto, y los scripts que utilizan están diseñados para ser discretos. Probablemente no lo notarás hasta mucho más tarde, y muchos traders creen erróneamente que el
autenticador móvil Steam Guard hace que su cuenta sea a prueba de hackers, o incluso peor, que los proteja de las estafas por completo. Los estafadores de cuentas de hoy en día combinan métodos finamente perfeccionados para robar cuentas y artículos de formas mucho más elaboradas, sin pasar por alto las protecciones de Steam Guard, de tal manera que dejan a las víctimas muy confundidas. Debido a la cultura de culpar a las víctimas en CS: GO, uno de los objetivos más importantes del secuestro de cuentas en Steam es que muchas de ellas no admiten públicamente que les han estafado por temor a represalias de una comunidad que las culpa personalmente por los cambios dañinos que Valve hace a la economía , y aquellos que lo hacen tienden a ser ignorados como "estúpidos" por ser estafados en un sistema que supuestamente protege a todos, excepto a los idiotas.
Este es el primer error que casi todas las víctimas cometen. Cualquiera puede ser estafado. No son solo los idiotas o los principiantes los que caen en esta estafa, a muchos traders y streamers experimentados de alto nivel les han robado sus cuentas. Este artículo hablará sobre cómo funciona la estafa en la actualidad.
¿Cómo distribuyen los estafadores enlaces a sus sitios falsos? ¿Y cómo caen las personas por ellos? En este momento, los sitios web de intercambio grandes, como BitSkins, CSMoney, Marketplace.tf, etc., tienen su sitio replicado (casi idénticamente) por estafadores, y luego se alojan en una URL extremadamente similar. Los nuevos sitios de apuestas o operaciones de comercio se utilizan también para robar cuentas y artículos. Entre los trucos, los estafadores:
- Cambian una sola letra en el dominio a algo similar (ejemplo b L tskins.com vs b i tskins.com).
- Usa caracteres Unicode internacionales diseñados para que se parezcan a los reales (por ejemplo, opsk ị ns.com contra opsk i ns.com).
- Crea un dominio de aspecto similar, como csmoney.trade en lugar de cs.money.
Ventana similar falsa que parece una ventana emergente de inicio de sesión de Steam real. - A veces, el estafador incluso compra un anuncio de Google para su sitio de phishing, o se involucra en el envenenamiento por SEO para asegurarse de que su sitio falso aparezca cerca o incluso por encima del real en las búsquedas de Google.(Conocido como envenenamiento de motores de búsqueda) .
- Contrariamente a la creencia popular, la mayoría de los sitios maliciosos se cargan en HTTPS, dando una falsa impresión de que son seguros o de confianza.
Estos cambios son difíciles de notar, y la mayoría de los usuarios no los ven, incluso si son sospechosos. Es posible que ni siquiera se dé cuenta de que estuviste comprometido hasta mucho después de que hayan desaparecido los artículos, en última instancia, nunca descubrirías cómo sucedió.
¿Cómo accede realmente el estafador a la cuenta? Tengo autentificador móvil habilitado ?! Puedes intentar iniciar sesión en uno de estos sitios falsos, bajo la impresión de que estás visitando el sitio real. No es vergonzoso admitir que muchas personas astutas han caido en ello.
Hay una serie de trucos que los estafadores han utilizado para crear páginas de inicio de sesión de Steam falsas,
pero uno de los más recientes es una ventana emergente falsa bastante convincente .Si ingresas tu nombre de usuario y contraseña, no pasarás directamente por Steam. En su lugar, enviarás la informacion a un servidor remoto u ordenador, donde el estafador intentará automáticamente iniciar sesión con la información que ingresaste.
Si proporcionas información incorrecta, el servidor te lo devolverá, mostrándote el mensaje de error de detalles no válidos de Steam, tal como lo esperarías de la página de inicio de sesión de Steam real.
Si proporcionas la información correcta el servidor te pedirá tu código de autenticador móvil en un segundo cuadro de diálogo de aspecto real. Si ingresas tu código (por favor, no), el servidor lo usará para iniciar sesión en tu cuenta de Steam.
NOTA: Estos estafadores no podrán directamente confirmar los intercambios, ya que no tienen acceso a tu autenticador móvil, pero como veremos, pueden solucionarlo de manera efectiva.
¿Qué sucede una vez que el estafador tiene acceso a tu cuenta? Una vez que el estafador tiene acceso a una cuenta de Steam,
se genera una clave API de Steam para esa cuenta de Steam. Ya no necesitan iniciar sesión en tu cuenta de Steam en este momento, pero aún así pueden permanecer conectados como una opción alternativa. Los estafadores cuentan con que las víctimas no saben qué es una clave de API, mucho menos que Steam las tiene o el nivel de control sobre su cuenta que ofrecen dichas claves.
Al usar su clave de API, entre otras cosas, el estafador puede aceptar (pero no confirmar), rechazar y cancelar ofertas comerciales de forma automática, y pueden continuar haciendo esto por siempre.
Importante: ¿cómo los usuarios finalmente pierden sus artículos ante el estafador?El sistema completo de los estafadores está completamente automatizado. Una vez que los estafadores tengan acceso a tu cuenta, podrán ver todas tus ofertas comerciales entrantes y salientes.
Usemos BitSkins como ejemplo aquí para explicar lo que pueden hacer una vez que se comprometa tu cuenta.
- Digamos que la víctima aquí, Steve quiere depositar su arma Karambit Fade FN en BitSkins para vender.
- Steve no sabe que su cuenta está comprometida y solicita una oferta comercial de BitSkins por su cuchillo.
- Un verdadero bot de BitSkins le envía a Steve una oferta comercial por su cuchillo.
- Los estafadores ven la oferta entrante en la cuenta de Steve y la rechazan.
Antes de que Steve pueda visualizar el intercambio en su aplicación móvil, el estafador redirige la oferta:
- El estafador copia rápidamente el nombre y el avatar del bot de otra cuenta que posee el estafador.
- Una vez que se ha copiado el perfil del otro bot, el estafador rechaza el intercambio y envía una oferta comercial idéntica del bot falso.
- Entonces, el intercambio parece completamente idéntico e indistinguible al momento de cargar la confirmación de la aplicación móvil.
- Steve acepta el intercambio, lo confirma en su autenticador móvil y su artículo ahora pertenece al estafador en la cuenta falsa del bot.
La redirección comercial anterior ocurrió en menos de un segundo, realizada en su totalidad por bots. Los estafadores también lo hacen con las operaciones que envías , cancelando, reenviando y confirmando (pendiente del móvil) cualquier operación que envíes. De esta manera, si no observas que las operaciones se cancelan / rechazan, no sabrás que tu cuenta ha sido robada.
Es importante entender que no importa en qué sitio falso ingresaste, los estafadores redireccionarán cualquier intercambio, sin importar los bots de los sitios web con los que estés negociando. Y como recordatorio, el Soporte de Steam no ayudará a recuperar tus artículos . Una vez que has caído en esto, tus artículos se pierden para siempre.
¿Cómo puedo asegurar mi cuenta después de iniciar sesión en uno de estos sitios falsos?Puedes ver los inicios de sesión anteriores en tu cuenta de Steam
aquí. Si ves una ubicación que no reconoces, debes asumir que estás hackeado, pero esto no puedes descartarlo de manera concluyente. Si ve que las ofertas comerciales son redirigidas inexplicablemente, esa es una señal segura de que estás comprometido. ¿Entonces que hay que hacer?
- #1. Cambiar tu contraseña.
- Si usas el mismo nombre de usuario / contraseña en otros sitios, cámbialos también. Los estafadores profesionales saben que las personas reutilizan contraseñas y no se detendrán solo en tu cuenta de Steam.
- Cambia especialmente tu contraseña de correo electrónico, ya que el estafador puede usarla para recuperar su cuenta de Steam a través de un restablecimiento de contraseña.
#2.
Desautorizar todos los dispositivos registrados en Steam aquí . Esto te desconectará en cualquier lugar donde tú (o el estafador) hayas iniciado sesión, lo que evita que el estafador se recupere del #3:
#3. Ve a https://steamcommunity.com/dev/apikey y elija "Revocar la clave de la API de My Steam Web " para obtener las claves enumeradas. Si no sabes qué es una clave API, no la necesitas. Si (y sólo si) no utilizas una, se debe considerar comprometida y generar una nueva.
Si aún ves que las operaciones se redirigen después de seguir los pasos anteriores, comunícate con el Soporte de Steam . Considera buscar malware y eliminar cualquier extensión de navegador que hayas instalado.
, que eso ya no lo sé. ¡Y hoy me he abierto la skin de Evelyn Kda! En fin, dejo el offtopic, es que estoy muy contento con esa chorrada.
![[facepalm]](/images/smilies/facepalm.gif "facepalm")
![[carcajad]](/images/smilies/nuevos/risa_ani2.gif "carcajada")
![[agggtt]](/images/smilies/nuevos2/infeliz.gif "uf")
![[mamaaaaa]](/images/smilies/nuevos/triste_ani4.gif "llorica")
