Как устроено мошен­ничество в Steam: почему игроки теряют аккаунты и деньги

Steam — это крупнейший магазин видеоигр в интернете.

В прошлом выпуске мы обсуждали Roblox — самую большую игровую экосистему. Но если Roblox в 2024 году заработал 3 млрд долларов, то Steam — больше 10 млрд только на продажах игр. За день пользователи заключают порядка 2,5 млн сделок, а стоимость игровых аккаунтов из первой десятки примерно равна стоимости просторной квартиры в мегаполисе.

О том, как хакеры охотятся за игровыми аккаунтами, а мошенники с помощью видеоигр отмывают деньги, мы рассказали во втором эпизоде четвертого сезона подкаста «Схема». А это его текстовая версия.

Принципиальная разница между игровыми средами Steam и Roblox — в среднем возрасте целевой аудитории. Продажа игр — это ключевой компонент бизнеса Steam, и потому ориентирован он на платежеспособных пользователей, а не на младшеклассников.

Самые дорогие игры на платформе стоят тысячи долларов, но это скорее исключение из правил. Хлеб корпорации Valve, которой принадлежит Steam, — это игры типа Assassin’s Creed или Cyberpunk, которые стоят максимум несколько десятков долларов за копию.

Воровать сами по себе эти игры невозможно. Ну то есть возможно, но это не как со смартфоном, который воришка вытаскивает из кармана в тесном автобусе. Заработать на перепродаже спираченных игр не получится: зачем за них платить пирату, если игры лежат на торрентах совершенно бесплатно?

К тому же у игр, доступ к которым получен нелегально, есть минусы. Во-первых, не работает мультиплеер, поэтому поиграть с друзьями или подоминировать над противниками не получится. Во-вторых, игра будет вне экосистемы Steam — а значит, никаких тебе ачивок, коллекционных карточек и прочих плюшек, которые важны для многих геймеров.

Поэтому геймеры, которые не хотят лишаться преимуществ аккаунта Steam, но хотят сэкономить, идут на хитрость. Большинство игроков покупает коды для активации игр — их еще называют ключами — со скидками на всяких мутных сайтах. Ключи, конечно, оригинальные: стоит ввести код в Steam — и в вашем аккаунте появится игра. Только вот откуда берутся скидки на игры?

Авторы журналистских расследований приходят к выводам, что примерно половина ключей куплена с ворованных банковских карт. То есть мошенники получили доступ к чьей-то карте и, чтобы обойти системы безопасности, не переводят деньги на свои счета, а потихоньку покупают видеоигры. В итоге, если какая-нибудь Baldur’s Gate стоит в Steam 30 $⁣ (2355 ₽)  , ключ для нее обойдется в 20 $⁣ (1570 ₽). О том, откуда берется вторая половина ключей, мы поговорим чуть дальше.

Есть еще такие нехорошие люди, которые любят портить игру другим, — читеры. Они делают так, что их персонаж, например, видит сквозь стены и никогда не промахивается. Читеров активно банят, поэтому им как раз постоянно нужны новые аккаунты для своих темных дел.

Иногда профессиональные читеры выставляют свои аккаунты на продажу в последний момент, когда они уже обвешаны кучей репортов и бан неминуем. Опять же часто бывает, что поддержку закидывают репортами о том, что тот или иной аккаунт украден, и бан прилетает покупателю через какое-то время. В общем, тут много рисков, поэтому на нижней планке левый аккаунт с Counter-Strike стоит в три раза дешевле самой Counter-Strike.

И все же аккаунт именно как коллекция платных игр — это, безусловно, ценная единица. Существуют рейтинги самых дорогих аккаунтов, и оценочная стоимость каждого из первой десятки переваливает за 300 000 $⁣ (23 557 311 ₽).

Почти всегда игроки теряют свой аккаунт не потому, что их дистанционно взломал хакер с тремя мониторами перед глазами и кучей банок из-под энергетика, а потому, что сами попались на фишинг в той или иной форме.

Представьте: какой-то человек пишет вам с приглашением записаться к ним в команду, потому что они собираются поучаствовать в соревновании, скажем, по Team Fortress, но им не хватает игрока, чтоб их пустили в турнир. Дальше есть два варианта.

В первом вы соглашаетесь и вас отправляют регистрироваться для соревнования на какой-то левый сайт, где, конечно, надо ввести свои логин и пароль от Steam. Но вообще-то расчет на второй вариант развития событий — что вы откажетесь. Тогда человек говорит: «Ну ладно, не страшно, но можешь, пожалуйста, хотя бы проголосовать вот тут за нашу команду?»

Ссылка, которую он присылает, выглядит очень правдоподобно: предпросмотр в чат подтягивается с упоминанием турнира и команды. Вы кликаете, и выскакивает окно авторизации в Steam. Сайт, конечно, тоже фишинговый.

Но находятся такие люди, которые вводят свои данные на мутных сайтах. Собственно, вся схема состоит в построении воронки для завлечения жертвы. Мошенник ничего не может поделать с человеком, который не хочет вводить свои данные в каких-то левых окнах. Но он может повлиять на то, в каком настроении человек дойдет до этого окна. Целевое настроение этой схемы — «ну не помог в турнире пацанам, помогу хоть с голосованием». Если оно увеличивает шансы ввода логина и пароля на последнем этапе хоть на один процент — это уже рабочая схема.

И во многом ее эффективность обеспечена ролью киберспорта в игровой культуре — оттуда происходит это особое чувство локтя у геймеров.

Если вы попадетесь на одну из фишинговых схем, ваш аккаунт продадут на черном рынке за копейки и по пути вытряхнут из него все скины и игровые предметы, которые вы накопили за долгие годы счастливого гейминга.

И вот на продаже предметов из инвентаря мошенники могут заработать гораздо больше, чем на продаже самого аккаунта с играми. Дело в том, что цена аккаунта складывается всего лишь из суммарной стоимости всех игр, приобретенных на конкретный Steam ID. Она не учитывает стоимости игровых предметов и скинов, которые есть в инвентаре игрока в каждой игре, — а это отдельный огромный куш.

Вот почему пользователь 4inarik никогда не согласится продать свой аккаунт за номинальную стоимость игр в нем — 31 млн рублей. Его аккаунт — это не коробка с подержанными настолками. Ведь каждая видеоигра, в которой есть система платных скинов, — это потенциально сейф с золотыми слитками. А таких слитков у него уже на десятки миллионов рублей.

Получить скин или предмет можно несколькими способами: купить у разработчиков во внутриигровом магазине, купить у других игроков на торговой площадке, обменять из рук в руки либо — при большой удаче — получить после сыгранной игры.

Кому-то хочется, чтобы их виртуальный воин обладал редким мечом — и он выкладывает за него 16 000 $⁣ (1 256 389 ₽), кто-то покупает в собственность виртуальный Амстердам за 50 000 $⁣ (3 926 218 ₽).

Для многих игры — это самая настоящая вторая жизнь, где тоже хочется произвести впечатление своим необычным внешним видом, оружием и виртуальным домом. Для них нож за 1000 $⁣ (78 524 ₽) в игре о противостоянии террористов и спецназа — такой же символ статуса, как новый Айфон или дорогая иномарка.

В 2013 году корпорация Valve запустила Steam Community Market. По сути, это блошиный рынок лутбоксов и скинов для видеоигр. Механики торговли и обмена игровыми предметами существовали и раньше, но в 2013 году корпорация Valve их унифицировала и собрала в одном месте, чтобы покупать и продавать цифровое имущество стало как можно проще.

Из этого родилось целое направление заработка в интернете: торговля внутриигровыми предметами для Dota 2 или Counter-Strike. На продаже пикселей матерые игроки зарабатывают больше, чем иные люди у станка на заводе.

Однако с появлением торговой площадки стало проще не только зарабатывать деньги, но и тратить их.

В 2023 году у коллекционера из Арабских Эмиратов под ником HFB неизвестные угнали весь его инвентарь в игре CS:GO. Инвентарь хранился в аккаунте Steam, и суммарная стоимость всех предметов в нем превышала 2 млн долларов.

Это одна из самых масштабных краж в истории Counter-Strike. В том инвентаре были такие скины и предметы, за которые на аукционах отдают десятки тысяч долларов. Например, там был редчайший нож-керамбит, который некогда принадлежал профессиональному игроку Спенсеру Мартину под ником Hiko. До кражи его оценивали в 50 с лишним тысяч долларов. И это даже не самый дорогой предмет в той коллекции.

Очевидно, что хакеры готовились заранее, хорошо все спланировали и действовали очень четко. Потому что взломать коллекционера такого уровня — хоть и феноменально сложно — это только полдела.

После угона аккаунта у грабителей были считаные минуты на то, чтобы куда-то деть одновременно больше тысячи абсолютно топовых скинов и вывести деньги. Поэтому первым делом они стали массово сливать краденое через российский маркетплейс MarketApp по схеме быстрых продаж. Это означает, что сбывали буквально за мизерную часть рыночной стоимости: тот же керамбит Hiko ушел за 900 долларов при стоимости в 50 тысяч.

Немалую часть аккаунтов, которые участвовали в сбыте коллекционерского инвентаря, поддержка Steam забанила. Часть сделок успели заморозить и откатить, но все равно мошенники успели вывести сотни тысяч долларов.

Кем были хакеры и как они сумели получить доступ к коллекционерскому аккаунту, который наверняка был защищен самыми сложными паролями и двухфакторной аутентификацией, — никто не знает. Но вполне возможно, что у хакеров были пособники внутри компании Valve. В 2022 году вскрылась схема (сайт недоступен из РФ), в которой через процедуру восстановления пароля пара таких злоумышленников наворовала аккаунтов и скинов на десятки миллионов долларов.

Вот как примерно это работало. Пишет какой-то Вася в поддержку Steam: «Привет, я HFB, мамой клянусь. Только вот что-то забыл пароль от аккаунта, скиньте мне его на почту vasya@nemoshennik.ru». Заявку принимает подельник Васи из техподдержки, отвечает: «Уважаемый HFB, вы прямо вылитый арабский принц! Выслал вам пароль на почту». Как всегда, какими бы ни были меры информационной безопасности, иногда все упирается в банальный человеческий фактор.

Но возникает закономерный вопрос. Вот вычислили эту схему, дали по попе нечестным сотрудникам поддержки, забанили хакеров. Неужели Steam в случае взлома не может все откатить назад и все всем вернуть? Это же, в конце концов, просто картинки, пиксели. Почему бы просто не сделать копию и все?

Когда-то могли и даже делали. Но там, где система проявляет мягкость, сразу находятся мошенники, готовые ее эксплуатировать. В итоге началась волна фейковых репортов: Вася передает свои предметы другу Пете, потом пишет заявку в поддержку: «Все, все, что нажил непосильным трудом, все же погибло! Три магнитофона, три кинокамеры заграничных, три портсигара отечественных, куртка замшевая… три… куртки». А поддержка просто рисует новые в инвентаре Васи. Профит!

А почему бы тогда не забрать предметы у Пети? Да потому что условный Петя может оказаться не подельником Васи, а ничего не подозревающим покупателем этих предметов. Представьте, перевел он деньги Васе за предметы, а потом поддержка Steam у него эти предметы забирает, потому что Вася пожаловался, что Петя его якобы взломал.

В какой-то момент Valve так надоели все эти философские дилеммы, что они просто самоустранились от решения этих вопросов. Зато разработчики Steam стали вводить всякие превентивные меры — например, требовать подтверждения покупки через смс, маркировать пользователей с подозрительным поведением, запрещать все торговые операции на неделю, если игрок внезапно сменил учетные данные. Все это может помочь, если пользователь стал жертвой примитивного фишинга, но даже с такими мерами у мошенников остаются свои лазейки.

API — это протокол, который позволяет сторонним приложениям забирать данные из вашего аккаунта и, например, проводить всякие транзакции, вести таблички лидеров и так далее.

Чтобы кто попало не получал доступ к аккаунту через API, как раз нужен ключ — что-то вроде логина и пароля в одном флаконе. Если мошенники сумели при помощи фишинга выловить ключ, они могут вмешиваться в ваши покупки, даже не взламывая ваш аккаунт.

Для этого они просто очень внимательно следят за вашей активностью и, как только вы начинаете с кем-то торговать, вмешиваются в самый последний момент. Со стороны это выглядит как небольшая задержка в транзакции. На самом деле в это время мошенник через API создает клон того аккаунта, с которым вы взаимодействуете, отправляет фальшивые данные о сделке, а сам переводит предметы себе.

API-ключ позволяет использовать некоторые функции аккаунта автоматически, не заходя в сам Steam. Набор этих функций ограничен, и украсть с аккаунта деньги, продать скины или передать их кому-то, просто имея API-ключ, невозможно. Для этого нужно дождаться, когда пользователь сам инициирует какую-то сделку. Поэтому от момента кражи ключа до взлома трейда могут проходить дни и даже недели.

Вы уже и забыли, что когда-то заходили на какой-то подозрительный сайт, — вы решили, что все обошлось, никаких уведомлений о подозрительном логине не приходило. Просто в какой-то момент ваша сделка кончается тем, что вы отправляете предметы, а получает их кто-то третий.

Бороться с этим можно, периодически проверяя в настройках Steam, не принадлежит ли ваш ключ какому-то явно третьему лицу. В норме в соответствующей строчке должно быть пусто.

1. Сегодняшний геймер — это человек с тысячами игровых часов за плечами. Его игровой аккаунт обладает для него символической, сентиментальной ценностью — как для кого-то, например, игровая площадка под окном родительской квартиры. У него есть свое игровое комьюнити, в котором свой язык и свои узнаваемые паттерны поведения.
2. Современные игры приучают к паранойе в одном случае и к совершенно беспечному разбрасыванию личными данными — в другом. Поэтому огромная часть мошеннических схем в околоигровом мире — это тактики общения, приемы психологической манипуляции.
3. Чтобы не потерять свой аккаунт в Steam и предметы в нем, не вводите пароль нигде, кроме официальных страниц Steam. Проверяйте адреса ссылок, которые вам присылают, — всегда подозревайте, что это фишинг.
4. Никогда не привязывайте к игровому аккаунту ребенка свою банковскую карту, особенно кредитную. Дети зачастую не осознают, что виртуальные предметы покупаются за вполне реальные деньги.