Как взломать пароль в стиме

Как взломать пароль в стиме

С каждым годом аудитория Steam увеличивается на десятки тысяч пользователей. Среди них большая часть обычных игроков, которые имеют на аккаунте десяток-другой игр, при этом играют преимущественно в CS:GO или Dota 2. Другие представители этой категории могут иметь намного больше игр, но в целом их аккаунты не предоставляют особой ценности.

Однако в Стим есть и такие пользователи, инвентари которых оцениваются приличными суммами. В основном это касается игроков тех же игр – Дота 2 и КС ГО. В инвентарях таких пользователей может лежать несколько ножей, дорогих скинов к оружию и крутых вещей к доте.

К, примеру, в Steam есть с полсотни пользователей, чей инвентарь стоит от 3 до 15 миллионов рублей.

Да это большие суммы и таким пользователей не очень-то и много, но ведь помимо их, например, есть тысячи инвентарей с полумиллионным инвентарём, сотни тысяч с балансами до 100 000 р. и т.д.

Короче, потенциальной роботы для мошенников просто завались.

Как взломать Steam? Как украсть аккаунт Стим?

И далее я опишу несколько схем, по которым могут действовать интернет-воры.

Стоит заметить, что целью настоящих мошенников являются аккаунты с дорогими инвентарями. Но также есть другие «школьники-подражатели», которые ради сотни рублей готовы потратить свое время на подобные манипуляции. Поэтому, если даже вы не обладатель дорогих вещей, стоит бережно относится к безопасности в Steam. Ведь кроме сворованного инвентаря эти школьники могут специально загнать ваш аккаунт и под VAC бан.

Фейковые страницы

Взломщики создают копию страниц Steam, пишут специальные скрипты размещают у себя на сервере. То есть они подделывают сайт Стима, однако одну вещь подделать нереально – адрес сайта.

Поэтому, когда вам пишут сообщения с подобным текстом:

«Смотри какая крутая игра сегодня бесплатна ссылка . Нажми «Играть» и она будет твоей. »

«Чекни какая красивая девушка с нашего города сидит в Steam ссылка »

«Добавь этого чувака ссылка в друзья! Он просто так игры друганам раздает, я уже получил.»

Сами ссылки будут иметь следующий вид:

  • http://store.steampower a d.com/app/730/CounterStrike
  • http://steamco n munity.com/id/merfo/
  • http://store.steampo v ered.com/app/730/CounterStrike
  • http://steamcommun y t i .com/id/merfo/

Красным цветом я выделил те символы, которые в нашем случае были заменены. То есть вы поняли, точный адрес стима зарегистрировать нереально, поэтому мошенники используют очень-очень похожие.

Я часто встречал, что при таких манипуляциях могут применять адреса даже никак не похожие на оффициальные. Поэтому будьте очень внимательными, когда переходите по ссылкам.

И так, когда вы перейдете по такой ссылке то увидите точную копию сайта Steam и чтобы добавить игру в библиотеку или добавить в друзья пользователя (как у нас было в примере) нужно авторизоваться, то есть ввести логин и пароль.

Когда вы введете эти данные и нажмете на кнопку «Вход» то скрипт поддельного сайта перенаправит вас на официальный сайт Steam но при этом сохранит введенные вами данные.

Все, мошенник знает ваш логин и пароль.

Когда появились мобильные аутентификаторы, то после Входа выскакивает такое же поддельное окно, которое просит ввести код авторизации Steam Guard. Если жертва введет его, то помимо логина и пароль взломщик получит и рабочий код, благодаря которому он сможет зайти в аккаунт.

Восстановление доступа к вашему аккаунту

Мошенник находит подходящую жертву и смотрит ее список желаемого (список игр, которые хочет заполучить пользователь). Или же, чтобы был беспроигрышный вариант, сам спрашивает в пользователя название желаемой игры.

Далее взломщик обязательно добавляет жертву в друзья, и, когда заявка будет одобрена, начинают диалог. Более опытные мошенники разговор могут начать и через несколько недель «дружбы».

Ключевое сообщение выглядит примерно так:

«Привет. Я хочу предложить тебе обменять свои вещи из инвентаря на ключ от игры.»

При этом указывается название именно той игры, которую хочет получить жертва. Если в ответ дают согласие, то взломщику нужно будет реально найти (купить) рабочий ключ к данной игре.

Дале жертве предлагают совершить обмен с примерно такими условиями: я даю тебе ключ первым, но перед этим сделай скриншот своей библиотеки, чтобы я мог понять активировал ли ты игру или нет.

Читайте также:  Как в chrome убрать всплывающие уведомления

Пример звучит тупо, но мошенники могут использовать любые уловки, главное для их получить скриншот окна из клиента Steam.

Дело в том, что так они узнают реальный логин жертвы. Также будет видно и баланс аккаунта.

Далее взломщик отдает ключ жертве – если она активирует ключ и «кинет» взломщика, то последнему абсолютно будет пофиг, главное чтобы ключ был активирован. Если же жертва согласится завершить «честный» обмен, то это будет залогом беспроигрышной попытки развода (мошенник точно не понесет убытки). Стоит заметить, что стоимость игры и самого инвентаря может быть даже 10-20 рублей, это не играет роли.

Теперь, когда жертва активировала ключ мошенник смело идет открывать тикет в службе поддержки Steam на восстановление чужого аккаунта. Опять таки, взломщик может сделать небольшую выдержку, то есть начнет действовать через несколько дней после активацию ключа, чтобы быть менее подозрительным.

В заявке на восстановление аккаунта он указывает такие данные:

  • Логин жертвы (узнает со скриншота).
  • Свой почтовый ящик.
  • По желанию может указать сумму, которая была на аккаунте (тоже видно на скрине).
  • Квитанцию о покупке игры или фото диска. И да, мошенник может купить ключ игры в любом цифровом интернет-магазине и показать квитанцию об оплате. Но особенно эффективно работают фотографии, на котором изображены: сами диск с игрой и текстовый ключ напечатанный на вкладыше к компакт-диску – создается эффект, что он купил игру в магазине и диск с игрой находится у его.

После рассмотрения такой заявки примерно через 5-10 дней мошеннику пришлют новые данные от аккаунта Steam жертвы.

Вирусные программы

Я думаю каждый из пользователей стим наблюдал такую картину: в друзья добавляется неизвестный человек и после одобрения заявки он предлагает вам «золотые горы» за переход по ссылке.

Подобное могут предложить и ваши друзья в Steam – это значит, скорее всего, их уже взломали.

Сообщения могут выглядеть по-разному, ну например:

«Привет. Я участвую в конкурсе, за выигрыш дадут две игры, и мне не хватает пару голосов. Вот проголосуй тут ссылка за меня и я отдам тебе одну копию игры.»

«Слушай, у тебя есть один редкий предмет в инвентаре. Я готов купить его у тебя за N-суму денег. Правда я не знаю его название, вот он на скрноше ссылка .»

«Короче нашел дыру в рулетке, можно безпалевно поднять кучу скинов. Вот инструкция ссылка »

«Хочешь скачать взломанный стим с играми? Вот тут ссылка выложил несколько жирных аккаунтов.»

По ссылке вы попадаете на вирус/вредоносную программу, которая может передать данные взломщику или просто передаст все вещи жертвы на аккаунт мошенника.

Довольно старинный способ взлома чего-либо. Он, наверное, появился почти тогда же, когда в интернете начали использовать личные данные – логины и пароли.

Суть его работы в том, что зная логин конкретной жертвы можно подобрать пароль.

Список паролей также генерирует специальная програма, и такой список может вмещать тысячи вариантов. Кроме того, когда в мошенника нет четкой жертвы, то список логинов также может быть сгенерирован.

Как правило пароли в таких списках являются не сложными, так как для обхвата даже небольшой части реально сложных паролей нужны очень-очень крутые дорогостоящие вычислительные компьютеры.

Поэтому если жертвы будет использовать простенькие пароли, ее будет легко взломать. Примером простых паролей можно назвать:

  • qwerty – последовательность символов на клавиатуре.
  • 1q2w3e4r5t – тоже самое, только с двух рядков клавиш.
  • 1234567 – последовательный набор чисел.
  • roma1998 – имя и год рождения
  • 044126 – короткий пароль исключительно с числами
  • liliya – названия предметов, растений, имена и т.д.
  • и в том же духе.

Сложным паролем можно назвать любой пароль, который имеет числа, маленькие буквы, больший буквы, и, если можно их использовать, то даже символы – >, &, ), *.

  • 33Pc8Z3nMP
  • ufkVKM25
  • и т.д.

С приходом мобильных аутентификаторов способ стал полурабочий, однако выманить у вас временный код доступа также могут.

Мобильный аутентификатор

Да, с появление мобильных аутентификатором процесс махинаций стал намного сложнее, а некоторые манипуляция даже стали невозможными.

Читайте также:  Роутеры с бесшовным wifi

Однако взломщики могут заняться сменой повязанного номера мобильного телефона от Steam Guard.

Сделать это можно по-разному, я не мошенник и в этих делах не силен, однако могу привести несколько примеров:

  • Психологически воздействовать на жертву (особенно если так подросток) и попросить перевязать аккаунт на ваш номер. Можно придумать какую-то хитрую историю, почему он это должен сделать и т.д.
  • Можно обманом попросить оператора сотовой связи сделать дубликат сим-карты жертвы. Уверить их, что это вы владелец номера и потеряли свою симку.
  • Можно попросить жертву за оплату протестировать ваше приложение, которое есть в Google Play и дать ссылку на ту программу, которая даст вам удаленный доступ к мобильному телефону жертвы.
  • И я уже не говорю про тот случай, когда грабители вломились в квартиру к геймеру и требовали передать все ценные вещи из инвентаря на другой аккаунт.

Как видите, процесс потери аккаунта полностью зависит от вас, и только вы можете сами себя обезопасить. Да, некоторые способы уже полноценно не работают и не дают мошенникам полного доступа к управлению аккаунтом, например, передавать вещи, однако запустить с вашего аккаунта игру и включить чит они также могут, и это буде неприятно, для вас.

Привет, Хабр! Сегодня я расcкажу за что же Valve заплатила наибольшие баунти за историю их программы по вознаграждению за уязвимости. Добро пожаловать под кат!

1. SQL Injection

Сервис partner.steampowered.com предназначен для получения финансовой информации партнеров Steam. На странице отчётов о продажах рисуется график с кнопками, которые меняют период отображения статистики. Вот они в зелёненьком прямоугольнике:

Запрос загрузки статистики выглядит вот так:


где «UA» — это код страны.

Ну что ж, пришло время кавычек!
Давайте пробуем «UA’»:

Статистика НЕ вернулась, чего и следовало ожидать.

Статистика снова вернулась и это похоже на инъекцию!

Допустим что инструкция к базе данных выглядит таким образом:

Если отправить UA’, то инструкция к базе данных будет:

Заметили лишнюю кавычку? А это значит, что инструкция невалидна.
Соответсвенно синтаксису SQL — запрос ниже вполне валиден (лишних кавычек нет):

Обратите внимание, мы имеем дело с массивом countryFilter[]. Я предположил, что если в запросе продублировать параметр countryFilter[] несколько раз, то все значения, которые мы отправим, будут объединены в SQL запросе таким образом:

Проверяем и убеждаемся:

Фактически, мы запросили у БД статистику трёх стран:

Синтаксис верный — статистика вернулась 🙂

Обход Web Application Firewall

Сервера Steam прячутся за Akamai WAF. Данное безобразие вставляет палки в колёса хорошим (и не очень) хакерам. Однако, мне удалось одолеть его благодаря объединению значений массива в один запрос (то что я объяснил выше) и комментированию. Для начала убедимся в наличии последнего:

Запрос валиден, значит в нашем ассортименте есть комментарии.

У нас было несколько вариантов синтаксиса, локальные базы для тестирования пэйлоадов, символы комментариев и бесконечное множество кавычек всех кодировок, а также самописные скрипты на пайтоне, документация по всем базам данных, инструкции по обходу файрволов, википедия и античат. Не то чтобы это был необходимый запас для раскрутки инъекции, но раз уж начал ломать базу данных, то сложно остановиться.

WAF блокирует запрос, когда встречает в нём функцию. Вы знали, что DB_NAME/**/() — вполне валидный вызов функции? Файрвол тоже знает и блокирует. Но, благодаря этой фиче, мы можем разделить вызов функции на два параметра!

Мы отправили заспрос с DB_NAME/*всёчтоугодно*/() — WAF ничего не понял, а вот база данных успешно обработала такую инструкцию.

Получение значений из базы данных

Итак, пример получения длины значения DB_NAME():

Ну и по-человечески:

Это значит, что если сравнение истинно, то в ответ получим статистику для страны «UA». Не сложно догадаться, что перебирая значения от 1 до бесконечности, мы рано или поздно найдём верное.

Таким же способом можно перебирать текстовые значения:

Обычно для получения N-ого символа используют функцию «substring», но WAF упорно её блокировал. Тут на помощь пришла комбинация:

Читайте также:  Скорость перехода слайдов может быть

Как это работает? Получаем N символов значения system_user из которых забираем последний.
Представим, что system_user = “steam”. Вот так будет выглядеть получение третьего символа:

С помощью простого скрипта этот процесс был автоматизирован и я получил hostname, system_user, version и названия всех БД. Этой информации более чем достаточно (последнее даже лишнее, но было интересно) для демонстрации критичности.

Через 5 часов уязвимость была исправленна, однако статус triaged (принята) ей выставили через 8 часов и, чёрт возьми, для меня это были очень сложные 3 часа за которые мой мозг успел пережить стадии от отрицания до принятия.

2. Получение всех ключей от любой игры

В интерфейсе партнера Steam существует функциональность генерации ключей к играм.
Скачать сгенерированный набор ключей можно с помощью запроса:

В этом запросе параметр keyid – id набора ключей, а keycount – количество ключей, которое необходимо получить из данного набора.

Конечно же, руки мгновенно потянулись вбивать разные keyid, но в ответ меня ждала ошибка: «Couldn`t generate CD keys: No assignment for user.». Оказалось, не всё так просто, и Steam проверял принадлежит ли мне запрошенный набор ключей. Как же я обошёл данную проверку? Внимание…

Сгенерировался файл с 36,000 ключей от игры Portal 2. Вау.
Только в одном наборе оказалось такое количество ключей. А всего наборов на данный момент более 430,000. Таким образом, перебирая значения keyid я потенциальный злоумышленник мог скачать все ключи, когда-либо сгенерированные разработчиками игр Steam.

Уже не первый раз мне присылают запросы в друзья в «Стим» всякие сомнительные *пи-и-и-и-и*, хм… «угребки», скажем так. Их профиль целиком и полностью скрыт, а при первой возможности «владелец» присылает сабж со ссылкой, мол, «хочу менятся — глянь чо у меня есть» и ссылка якобы там скрин его инвентаря…

Благо на первую ссыль заагрился «Стим Гвард» который после угона аккаунта (лохонулся по молодости с майл.сру, через мыло и ломанули прям во время того как я играл) я слушаю как маленький сынишка матерого батьку и ни в коем случае не выключаю.

Вторую ссыль уже другой «угребок» даже не потрудился шифрануть через иностранный сервис или как либо еще грамотно шифрануть самостоятельно, а просто тупо воспользовался сервисом который заменяет ссылки http://kuco.ru/ (при том что текст сообщения на английском и под копирку с сообщения первого «угребка», подозреваю какой-то шкальник ботом баловался даже не разобравшись как он работает), копипаста в адресную строку браузера (ВАЖНО! не нажатие на ссылку в чате, а именно копирование как текста) и в результате я получил файлик «Screenshot_0545.scr», какого-то хрена исполняемый, казалось бы простой скринсейвер (я хз как они работают, но думаю исполняемыми они быть не должны) как я уточнил погуглив, но только весит он почти метр (1,037,312 байт), да и нахрена скринсейвер если на худой конец можно было просто картинкой скинуть, или и вовсе просто отрыть профиль для друзей… Там же при гуглении прочитано было что в них любят прятать всякие «трояны» и тому подобное. Ясен пень запускать его не стал, простым блокнотом в нем не поковыряться, а то что само предлагает его отредактировать («Notepad++») выдает крокозябры. Кому интересно — могу поделится файликом, хотя переписывать под себя не советую — ну вот не стоит самим становится «угребками».

Собственно сам вопрос — как вот от этих «угребков» отбиться? Как отвадить от своего аккаунта? Где та промашка может быть, что их как мух на гумно манит? Может где какую опцию безопасности не включил, или это связано еще аж с тем массовым взломом гугловского сервера при котором в сеть выложили туеву хучу почтовых ящиков с паролями (сейчас аккаунт в «Стим» как раз под ГМылом)? Заодно может кто-то тоже с таким сталкивался? Как решал проблему?

Я честно хз куда нужно было писать, самому спросить не у кого, вот и написал сюда с дуру, только надеюсь что не сыграл «Мороза Ивановича».

П.С.: На картинке топика профиль/бот второго «угребка».

Ссылка на основную публикацию
Как вернуть размер флешки
Иногда флеш-накопитель после форматирования или неверного извлечения начинает некорректно отображать размер памяти – например, вместо 16 Гб доступно только 8...
Источники бесперебойного питания как выбрать
Этой статьей наш сайт продолжает целый цикл полезных материалов, целью которых станет облегчение выбора какого-либо товара из тысяч предложенных на...
Исчез значок антивируса с панели задач
Microsoft продвигает кампанию по бесплатному обновлению до Windows 10 только среди пользователей Windows 7 и 8.1. Эта категория пользователей заранее...
Как вернуть скрытые файлы
Иногда мы скрываем файлы на компьютере, чтобы засекретить информацию, и нам требуется вернуть их. Существует как лёгкие, так и сложные...
Adblock detector