Det som CSGO-communityt kallar “API-scam” är faktiskt en phising-scam. Phishing-scam innebär enligt definitionen att spåra en användares aktivitet och använda denna information för att lura offret att ge dem något av värde, vilket i det här fallet är skins. Själva API:et är ingen nytta för hackaren, men vi kommer tillbaka till det senare. Av enkelhetsskull kommer vi att kalla detta API-scam istället för phising-scam eftersom det är det bekanta ordet inom CS-communityn. För att ett API-scam ska vara möjligt behöver hackaren få tillgång till ditt Steam-konto.

Hur får hackaren tillgång till mitt konto?

Hackaren kommer lura dig att ange dina Steam-inloggningsuppgifter i ett falskt auktoriseringsfönster, en perfekt imitation av Steams riktiga inloggningsida. Denna situation uppstår när du vill logga in på en tredjeparts webbplats, skillnaden är att legitima tredjepartssajter som CSMiddler skickar dig till den riktiga Steam-autoriseringssidan medan hackarens webbplats skickar dig till deras imiterade inloggningssida. När du verifierar din inloggning med Steam-autentiseraren till det du tror är en legitim tredjeparts webbplats, har hackaren en parallell inloggningsprocess på Steams riktiga inloggningsida. Detta innebär att när du verifierar din inloggning via din Steam-mobilapp ger du hackaren tillgång.

Vid det här laget kommer hackaren troligen skapa en API-nyckel. Raden “Domännamn” kommer inte längre vara tom utan istället ha ett domännamn eller en rad med siffror.

API-nyckeln möjliggör för hackaren att spåra din bytesaktivitet - se vilka erbjudanden du får och skickar. Men bara för att det inte finns någon API-nyckel betyder inte med säkerhet att du är säker. Hackaren kan istället ha en bot som ständigt uppdaterar din bytessida och letar efter inkommande bytesförslag. Detta är i stort sett exakt vad API-nyckeln gör, men ur ditt perspektiv kommer API-nyckelraden att vara tom som bilden visar nedan.

*Det är inte farligt att ha ett API så länge du eller en betrodd part har lagt det där. Till exempel behöver vi på CSMiddler, precis som alla andra marknadsplatser, ha API-nyckeln för att veta när du har skickat/mottagit dina skins.

Den faktiska scammen

Tänk dig detta scenario: Du har sålt en kniv, köparen skickar dig ett erbjudande för kniven och du ska snart gå in på din mobila Steam-app för att acceptera. Hackaren som har tillgång till ditt konto kommer med API-nyckeln eller sin bot bli notifierad att du har fått ett erbjudande för din kniv. Inom några sekunder kommer de ha nekat det bytesförslag du fick från den riktiga köparen, ofta kopierar de profilbilden och namnet på den riktiga köparen och därefter skicka dig en exakt kopia av det ursprungliga erbjudandet. Eftersom du inte behöver autentisera nekande av erbjudanden kan hackaren göra det genom att bara ha ditt lösenord. Allt detta görs automatiskt inom några sekunder, vilket är varför det inte väcker några som helst varningsflaggor för den genomsnittliga spelaren.

När du, säljaren, loggar in för att se dina byteserbjudanden kommer du bara se ett bytesförslag för kniven som köparen köpte. Det enda problemet är att detta erbjudande är från hackaren och det riktiga erbjudandet är nekat och borta. När du accepterar detta imiterade erbjudande kommer din kniv också vara borta för evigt.

Den största missuppfattningen om API-scam

Hackaren behöver inte din API-nyckel för att kunna genomföra en API-scam. Det är tillgången till ditt konto som är avgörande eftersom hackaren behöver kunna neka det riktiga erbjudandet för sitt falska erbjudande att verka legitimt. Om hackaren bara har din API-nyckel och inte tillgång till ditt konto kommer han att kunna skicka ett liknande erbjudande samtidigt som du får det riktiga erbjudandet. Bara nu - eftersom han inte kan neka det riktiga erbjudandet - kommer du att se två erbjudanden vilket bör vara tillräckligt med varningsflaggor för dig att förstå vad som hänt.

Så här förebygger du att drabbas av API-scam

1. Se om du har en api-nyckel som varken du eller en betrodd part (till exempel CSMiddler) har lagt där.
2. Logga in här och gå till “Senaste inloggningshistorik” och leta efter något misstänkt.
3. Byt lösenord då och då (särskilt om du har loggat in på okända webbplatser). Att byta lösenord är det enda sättet att vara helt säker på att API-bedrägeri inte är möjligt. Alla andra inloggade enheter kommer att loggas ut, inklusive den potentiella inkräktaren. Det spelar ingen roll om du även låter en inkräktares api-nyckel förbli på ditt konto eftersom utan tillgång till ditt konto kommer han inte att kunna neka/abryta det riktiga Steam-byteserbjudandet.
4. Se till att tredje parts webbplatsen är legit innan du loggar in.
5. När du loggar in på en tredje parts webbplats, dubbelkolla att URL:en för steam-inloggningsportalen börjar med https://steamcommunity.com/; Om inte så är det en falsk inloggningsplats.

Det kommer alltid att finnas bedragare, de kommer alltid att hitta nya sätt att lura människor, men att utbilda dig själv om hur deras metoder fungerar kommer att förbättra dina chanser att slippa bli lurad! Tänk som en bedragare för att undvika en ;)