Câți dintre voi știți de pericolele la care vă expuneți atunci când dați click pe un link sau intrați pe un site? Câți dintre voi cunoașteți metodele pe care Valve le-a implementat cu scopul de a vă proteja? Câți dintre voi ați fost păcăliți și ați rămas fără contul de Steam, iar departamentul de relații cu clienții v-a lăsat să așteptați o eternitate până să vă dea acces din nou?
Poate acest subiect este unul banal pentru unii, iar pentru alții este un lucru lăsat cumva pe planurile secundare și peste care se trece ușor cu vederea pe principiul “nu mi se poate întâmpla mie“. Ah, dacă cineva mi-ar fi oferit 50 de bani de fiecare dată când am auzit acestă frază și totuși mai devreme sau mai târziu s-a întâmplat, m-aș fi retras de mult pe o insulă mică din Tenerife. Dar nu a fost să fie…tot ce pot să fac este să vă explic în cele ce urmează de ce e important să îți protejezi contul de Steam.
Cum se poate întâmpla?
Cea mai utilizată metodă prin care se poate fura un cont de Steam este phishing-ul. Termenul este un neologism din domeniul IT și în limba română s-ar traduce prin “pescuit”. Atacatorul face o copie fidelă a site-ului ai cărui utilizatori au informații dorite de către acesta. În aproape toate cazurile va face o copie a paginii Steam Community pe care acesta vă va ruga să o accesați din browser.
Dar cum poate să facă un duplicat cu tot cu link?
Ei bine, nu poate. Domeniul steamcommunity.com și tot ce ține de el aparține corporației Valve, prin urmare făptașul nu are cum să folosească același nume. Acest lucru nu îl sperie, ci este o provocare, el sau ea trebuie să altereze link-ul îndeajuns de mult cât să îl păcălească pe cel care îl accesează.
Poate ați întâlnit persoane dubioase care v-au rugat să intrați pe ceva de genul steamcommmunity.com cu scopul de a efectua un trade: acolo ai fix pagina de login, sunt prezente câmpurile de username și password, ai aceiași temă de culori, nu pare nimic suspect. Îți introduci datele și îți vezi mai departe de trade, însă tocmai ai picat într-o capcană. Link-ul nu este corect și conține o literă în plus versus varianta reală, dar mecanismul de preluare a datelor este același și nu este vizibil utilizatorului.
De ce se complică și nu ia userul și parola de pe site-ul Valve?
Aici o să intru un pic în detaliu ca să întelegeți cum functioneză site-urile. Pentru a putea valida orice acțiune a ta, serverele Valve trebuie să îți recunoască datele tale de autentificare (username-ul și parola), aceste date nu se trimit niciodată “în clar”. Ce înseamnă asta? Dacă eu văd cumva pachetul prin care tu ai trimis la Valve userul și parola, nu o să mă pot folosi vreodată de informația de acolo pentru că este criptată, aș avea nevoie de cheia cu care a fost generată secvența ca să o pot citi.
După cum puteți vedea în poza de mai sus, criptarea a generat o secvență ce nu poate fi interpretată, atacatorul nu se poate folosi de pagina Valve pentru a-ți fura datele, de aceea el se folosește de o pagină trasă la indigo. Nu mai zic că poate să transmită informația capturată mai departe din moment ce nu este criptată.
Ce se poate întâmpla dacă mi-a aflat user-ul și parola?
Evident, atacatorul are acces la contul tău de Steam, care pentru unii înseamnă nu doar jocuri, ci și bani. Aici vorbesc de cei care au fost binecuvântați de Lord Gaben cu iteme scumpe ce pot fi vândute în afara market-ului. Atenție! De curând Valve a implementat o nouă politică vis-a-vis de itemele pierdute, ele nu vor fi returnate după restituirea contului.
Pe langă asta ai putea să te trezești cu ban la diverse jocuri dacă persoana respectivă dorește acest lucru, doar are acces la libraria ta de Steam, nu? Mare grijă! NU este un lucru pe care trebuie să îl tratați cu nepăsare. De exemplu dacă vreți o carieră de jucător profesionist la Counter Strike Global Offensive atunci o să vă fie imposibil să mai profesați cu VAC pe cont.
Dar cineva mi-a furat contul, cum să mă lase Valve cu ban?!
În secțiunea de informații despre acest mecanism scrie clar:
Ca Valve să impună o politică fără excepții trebuie să nu facă sau să creeze excepții. Logic, nu?! Tu ești responsabil de siguranța contului tău, dacă s-a întâmplat atunci tu ești cel tras la răspundere.
Ce pot să fac ca să “nu mi se întâmple chiar mie”?
- Mare, mare, MARE atenție pe ce dați click. Dacă sunteți în aplicația de Steam și dați click pe un link dubios, atunci clientul celor de la Valve este deștept și nu vă va redirecționa către pagina cu probleme. În schimb, dacă accesați link-ul din browser, atunci vă va afișa pagina duplicată. Așadar uitați-vă de 100 de ori înainte să intrați pe o pagină web.
- Acitvați Steam Guard. Prin aceată opțiune Valve vă trimite un cod fie prin e-mail, fie pe smartphone cu ajutorul aplicației Steam Mobile, pe care trebuie să îl introduceți după ce vă autentificați. Cu acestă metodă o să mențineți un nivel de securitate ridicat al contului pentru că atacatorul are nevoie de mai multe informații sau trebuie să facă mai multe acțiuni pentru a dobândi acces la contul de Steam. De exemplu: dacă alegeți doar activarea prin e-mail atunci el va avea nevoie și de parola aceea, ceea ce nu e un lucru ușor de obținut, asta dacă nu aveți aceeași parolă 🙂 Mai aveți și opțiunea de a primi codul prin intermediul aplicației de pe Steam Mobile.
- Nu oferiți niciun fel de informație despre contul propriu sau fișier de Steam Guard persoanelor pe care nu le cunoașteți în afara granițelor virtuale, chiar dacă vă sunt prieteni vechi din listă.
Multe informații, dar de ce este important?
Cum ziceam un pic mai sus, pe scurt îți pierzi o grămadă de lucruri dacă ți-a fost compromis contul:
- Jocuri.
- Itemele de pe contul respectiv.
- Reputația. Dacă ai primit VAC, nu ai șanse să scapi de el.
O asemenea experiență e puțin spus neplăcută, zilnic se pierd aproape 77,000 de conturi de Steam. Dacă nu vreți să fiți printre aceștia, urmați sfaturile pe care le vi le-am oferit.
Dacă aveți întrebări sau neclarități, există sub articol secțiunea dedicată comentariilor, unde vă aștept întrebările cu mare drag.
