API key scam yemişsiniz.
Tipik bir API dolandırıcılığı şu şekilde çalışır:
Steam hesabınızı bir noktada X adlı bir siteye bağlarsınız ve bu siteye API erişimi verirsiniz. X, API ile gelen takas tekliflerini kabul edemez, bu yüzden sizi hemen dolandıramaz, hata yapmanızı beklemek zorundadır. API sayesinde gelen takas tekliflerini listeleyebilir ve reddedebilirler.
Bu site, sahte bir Leetify veya CSMoney sitesi olabilir. Google'da sahte bir siteye reklam vererek orijinal bir siteymiş gibi davranabilirler (phishing/sahtekârlık yöntemi).
Başka bir yöntem de "takımıma oy ver Steam hesabınla" veya "Faceit takımımıza bir kişi arıyoruz, seni fark ettik" gibi yöntemlerdir. Bu da Steam hesabınızı kullanarak giriş yapmanızı sağlar ve dolayısıyla API erişimini verir.
Bazen önceden meşru olan bir site, sonradan "daha az meşru" hale gelebilir veya uzun süredir kullanılmayan hesapları dolandırmak için kullanabilir.
Sonra Y adlı bir site ya da arkadaşınıza bazı eşyalarınızı takas etmek istersiniz. Y sitesi, hesabınıza takas teklifini gönderir; içerisinde sizin vermek istediğiniz eşyalar vardır.
API erişimi olan dolandırıcılar, profil adınızı (isim, resim, açıklama vb.) değiştirebilir. Bu teknikle klasik “Hesabınız yasaklandı ama eşyalarınızı kurtarmak için bir arkadaşınıza gönderebilirsiniz” senaryosunu oynarlar — kendilerini 'Steam destek görevlisi' gibi tanıtırlar ve Steam mesajlarıyla sizinle iletişime geçerler, bazen doğrudan Discord’dan eklemenizi isterler.
API erişimi olan X kişisi, takas tekliflerinizi sürekli izler. Z adlı bir hesaptan gelen bir takas teklifini fark ederler; Z’nin profil resmini ve adını kopyalarlar. Z’den gelen gerçek takas teklifini reddeder ve sahte Z hesabından yeni bir takas teklifi oluştururlar.
Yıllarca sessizce bekleyebilirler, ta ki saldırmak için doğru zaman gelene kadar.
Siz, hesap adının beklendiği gibi olduğunu kontrol edersiniz ve her şeyin doğru göründüğünü sanarak takas teklifini kabul edersiniz.
Ve böylece dolandırılmış olursunuz.
Görüştüğüm çoğu arkadaşım “Steam’de hiç API etkin değil, tamamen güvendeyim” diye düşündü, ama kontrol ettiğimde her birinde 5-10 tane etkin API vardı ve bazılarında mevcut servislerin birebir aynısı gibi görünen ama küçük bir yazım farkı olan (örneğin: leatify) açık phishing siteleri vardı. Bu nedenle, insanların teknik olarak çok bilgili olmadıkları durumlarda kendilerini güvende zannetmelerine rağmen aslında hiç güvende olmamaları, bu yöntemi geçerli bir korunma yöntemi olarak görmememin ana sebebi.
Bu tür dolandırıcılıklara karşı %100 korunmanın tek yolu: E-posta ya da geçmiş kayıtlarınızı kontrol ederek aynı olan iki takas teklifini kontrol etmektir. Bunlardan biri sizin tarafınızdan reddedilmiş olur ama siz bu teklifi reddettiğinizi hatırlamazsınız.
Ayrıca, hesabın Steam URL’sini kontrol etmek önemlidir. Bu, dolandırıcıların taklit edemeyeceği tek şeydir. Benzer görünebilir ama birebir aynı olamaz. Latin harflerine benzeyen Rusça/Yunanca karakterlerle sizi kandırmasınlar.
→ Not Defteri kullanarak beklenen ve gelen URL’leri kopyalayın, her biri bir satıra gelecek şekilde yapıştırın, ardından ilk satırı kopyalayıp arama (Ctrl+F) yapın. Bu yöntemle Rusça/Yunanca gibi aldatıcı karakterler tespit edilebilir.