Každý z nás se již určitě alespoň jednou setkal s metodou API scamu. Ať už v pozici kupujícího, prodávajícího nebo informovaného diváka. Co to ale vlastně API scam je a jak se mu vyvarovat?

API scam je jedním z nejčastějších typu podvodů ve hře CS:GO. Funguje na principu odcizení API klíče druhé osoby za pomoci například podvodných odkazů na různé webové stránky, které vyžadují přihlášení přes Steam. V mnoha případech se jedná o kopie známých stránek pouze s falešnou webovou doménou.

Co je to API klíč?

API (Application Programming Interface) se většinou označuje v IT jako rozhraní pro aplikace. Jedná se tedy o rozhraní, kterým mohou komunikovat dvě aplikace mezi sebou a vyměňovat si tak data.

API klíč je sada znaků, které slouží jako autentizátor, obvykle k potvrzení identity. API klíč je oblíbený nástroj, který používá několik webových stránek (např. hazardní, tradovací atd), aby uživatelům pomohl s jejich obchody. Zároveň je v platnosti od doby, kdy byl do hry přidán sedmidenní tradeban na skiny.

Jak funguje API scam?

Bohužel s příchodem API klíče našli podvodníci způsoby, jak manipulovat s obchody a přesměrovat uživatele k obchodování s podvodným účtem namísto vybraného. Ačkoliv se na první pohled zdá, že se jedná o totožný účet, tak maličkosti hrají v tomto případě velmi významnou roli. Během odesílání obchodní nabídky se zdá být vše v pořádku, ale ke zlomovému okamžiku dochází v moment potvrzování nabídky v mobilní aplikaci Steam.

Pojďme si to předvést na vhodném příkladu:

1. Zašlete obchodní nabídku
2. Potvrďte nabídku prostřednictvím svého mobilního zařízení
3. Dejte vědět druhé straně, že jste skiny odeslali
4. Počkejte, až obchod druhá strana přijme

Kupující, například známý reseller odepíše, že skiny neobdržel a že nabídka byla zrušena. Skiny ale v inventáři již nemáte a vidíte v historii, že druhá osoba nabídku přijala.

Tak co teď, kde se stala chyba? Podívejme se na obrázky níže…

Už víte, kde nastala chyba? Ačkoliv se informace zdály být s originálním profilem totožné, tak nebyly! V tomto případě neseděla jak úroveň profilu, tak ani založení Steam účtu. V případě hlubšího zkoumání je možnost rozkliknutí podvodného profilu a porovnání ho s originálním účtem.

K podvodu dochází již během kroku číslo 2, kdy byl uživatel vyzván k potvrzení nabídky. V tomto případě došlo za pomoci API klíče ze strany podvodníka ke zrušení obchodní nabídky a přesměrování na totožný podvodný profil. V momentě, kdy dojde k potvrzení nabídky, se můžete v tomto případě se skiny i možnými penězi rozloučit, poněvadž není žádná možnost, jak skiny získat zpátky.

Byl jsem okraden, co mám dělat?

Ačkoliv se jedná o velmi nepříjemnou situaci, tak je v první řadě důležité se smířit s tím, že jste byli o skiny okradeni a už je zpátky nezískáte. Aby se to již znovu neopakovalo můžete tomu předejít jednoduchými kroky, ale zato velmi důležitými.

1. Obnovte si API klíč

Nejdůležitějším krokem je odstranit svůj stávající API klíč a založit si nový. Tím zajistíte, že podvodník nebude mít již možnost přesměrovat pomocí vašeho starého API klíče nové obchody na další podvodný profil. 

2. Vytvořte novou obchodní adresu URL

3. Změňte si své dosavadní heslo od účtu na Steamu

Jedná se o nejbezpečnější možnost. Je důležité počítat i s tím, že po provedení tohoto kroku budou vaše obchody dočasně zablokovány/omezeny.

4. Neotevírejte a ani se nepřihlašujte na neznámé webové stránky

Jedná se o nejjistější ověření, že nebude okradeni za pomoci API scamu. V případě, že byste měli potřebu se přihlásit na nějakou webovou stránku, doporučuji se prvně přihlásit na Steam. V momentě, kdy budete přihlášeni na oficiálním webu Steamu, tak vám vždy během přihlašování se na jiné webové stránky vyskočí možnost připojit se již přes váš ověřený účet. Jakmile by vám nebyla nabídnuta tato možnost, rozhodně nedoporučuji přihlašovat se znovu! Jednalo by se na 100 % o podvodnou stránku.

Důležité otázky týkající se API scamu

Mohu odhalit podvod dříve, než nastane?

Rozhodně ano! V případě, že pečlivě zkontrolujete zmíněné informace druhé osoby (registrace profilu a Steam lvl), tak se nemusíte ničeho bát. Důležité tedy je, aby se všechny základní informace při odesílání obchodní nabídky shodovaly s informacemi při potvrzování v mobilní aplikaci.

Jak podvodník získal přístup k mému API klíči?

Obvykle prostřednictvím phishingových webů. Možná jste otevřeli podvodný odkaz, který vám zaslal nějaký hráč nebo jste otevřeli zprávu, že jste získali nějaké skiny či bonusy na hazardní stránce zdarma a jediné, co potřebujete, je si skiny/bonusy vyzvednout a přihlásit se na stránku znovu.

Může mi podvodník ukrást pomocí API klíče můj účet?

Rozhodně ne. API klíč slouží pouze k manipulaci a přesměrovávání obchodů na podvodné profily.