Der Trade sah richtig aus, weil es dein Trade war
Du einigst dich mit einem Trader, mit dem du seit zwei Tagen schreibst, auf einen Tausch. Sein Angebot kommt an, du prüfst den Namen, den Avatar, die Jahre auf dem Konto. Alles passt. Du bestätigst auf deinem Handy, die App zeigt den vertrauten grünen Haken, und dreißig Sekunden später ist dein Messer in einem Inventar, das du nie gesehen hast, im Besitz eines Kontos, das letzten Dienstag erstellt wurde.
Niemand hat dein Passwort spontan erraten, und keine Malware hat an diesem Tag deinen PC berührt. Der Angriff geschah Wochen früher, in etwa vier Sekunden, als du dich auf etwas eingeloggt hast, das wie eine Turnier-Abstimmungsseite aussah. Dieser Login setzte einen Steam-Web-API-Key auf dein Konto, und der Key erledigte den Rest.
Der API-Key-Betrug räumt seit CS:GO-Zeiten Inventare leer und funktioniert 2026 immer noch aus einem Grund: Jedes sichtbare Detail des finalen Trades ist echt. Dein Trade, deine Bestätigung, deine Freigabe im Steam Guard. Das einzig Gefälschte ist der Empfänger. Dieser Guide geht den Mechanismus durch, die Warnzeichen, dass ein Key auf deinem Konto sitzt, und die Aufräumaktion, die den Angreifer wirklich entfernt.
Der Key, der deine Trades beobachten und stornieren kann
Der Steam-Web-API-Key ist eine Entwickler-Funktion. Jeder kann sich einen für sein eigenes Konto auf steamcommunity.com/dev/apikey erzeugen, und er erlaubt Software, an Teilen des Kontos zu handeln, ohne sich über die Website einzuloggen. Fürs Trading sind diese Rechte relevant:
- deine ein- und ausgehenden Trade-Angebote in Echtzeit auslesen
- Trade-Angebote in deinem Namen stornieren und ablehnen
- dein Inventar und die deiner Handelspartner beobachten
Und hier die unbequeme Nuance: Nach einem API-Key zu fragen, ist kein Beweis für Betrug. Manche seriösen Peer-to-Peer-Marktplätze, Waxpeer darunter, nutzen deinen Key tatsächlich, um zu verfolgen, wann Trades zustande kommen. Trader sind seit Jahren darauf geeicht, den Key als Routine-Feld bei der Anmeldung zu behandeln, und genau diesen Reflex nutzt der Betrug aus.
Wichtig ist nicht der Key selbst. Wichtig ist der Ort, an dem du warst, als der Key entstand. Von dir erzeugt, auf der echten Steam-Domain, für eine Seite, die du bewusst gewählt hast: normal. Still registriert, nachdem du dein Passwort auf einer Seite eingegeben hast, die dir ein Fremder verlinkt hat: das ist der Betrug, schon im Gange.
Dreißig-Sekunden-Check, jetzt sofort: Öffne diese API-Key-Seite und schau nach. Wenn ein Key existiert, den du nie erstellt hast, oder die registrierte Domain so etwas wie "localhost" oder wirres Zeug ist, behandle das Konto als kompromittiert und spring zum Abschnitt über die Aufräumaktion.
Anatomie: vier Schritte, ein bestätigter Trade
Der Betrug ist eine Kette, und die Phishing-Seite an ihrem Anfang ist das einzige Glied, das du ablehnen kannst:
- Der Köder. Ein Link taucht dort auf, wo Trader unterwegs sind: Discord-Server, Kommentare auf Trade-Seiten, Steam-Freundschaftsanfragen. Stimm für mein E-Sport-Team ab. Hol dir ein kostenloses Case. Schau dir dieses günstige Messer an. Die Seite öffnet eine pixelgenaue Kopie des Steam-Login-Fensters, und die Zugangsdaten gehen an den Angreifer.
- Das Unterschieben. Mit deiner frischen Sitzung registriert der Angreifer einen Web-API-Key auf deinem Konto. Keine E-Mail, keine Benachrichtigung, sichtbar ändert sich nichts. Der Key kann wochenlang untätig liegen, während du ganz normal tradest, und deshalb bringen Opfer den Diebstahl selten mit dem Phishing-Moment in Verbindung.
- Der Austausch. Das Skript des Angreifers beobachtet über den Key deine ausgehenden Angebote. In dem Moment, in dem du einen echten Trade abschickst, storniert das Skript ihn und sendet sofort einen Ersatz von einem Bot-Konto, das den exakten Namen und Avatar deines Partners trägt. Das Angebot enthält dieselben Items, also hat sich auf den ersten Blick nichts geändert.
- Die Bestätigung. Dein Handy vibriert, du gibst frei, was du für den gerade abgeschickten Trade hältst, und Steam Guard sieht nichts Falsches, weil die Bestätigung wirklich von deinem Konto kommt. Die Items gehen an den Betrüger über.
You log in on a fake site
A lookalike Steam login page on a phishing site captures your credentials. Nothing visibly breaks, so you move on.
A key is planted
The attacker registers a Web API key on your account. It sits there silently, sometimes for weeks, watching your trades.
Your real trade is swapped
The moment you send a genuine offer, a script cancels it and a bot cloned from your partner's name and avatar sends an identical one.
You confirm, items leave
The mobile confirmation is real, so Steam Guard approves it. Your items go to the impostor, not your partner.
Achte darauf, was nie passiert ist: Niemand hat die Zwei-Faktor-Authentifizierung umgangen. Der Betrug bricht Steam Guard nicht, er schleust den Diebstahl durch deine eigene Freigabe. Deshalb stoppt ihn keine Sicherheitseinstellung, sobald der Key sitzt, und deshalb ist die Lösung, den Key zu entfernen, nicht mehr Bestätigungen hinzuzufügen.
Vier Zeichen, dass ein Betrüger sich auf deinem Konto eingenistet hat
Ein untergeschobener Key erzeugt Symptome. Die meisten Opfer sehen mindestens eines davon und erklären es sich damit, dass Steam gerade spinnt:
- Deine ausgehenden Trades stornieren sich von selbst. Du schickst ein Angebot ab, und Sekunden später steht es als von dir storniert da. Das ist das mit Abstand deutlichste Anzeichen. Steam storniert Angebote nicht von allein, und einen Bug, der ausschließlich Trades betrifft, gibt es nicht.
- Dein Partner bekommt das Angebot nie. Er starrt auf eine leere Trade-Seite, während dein Client behauptet, das Angebot sei raus. Das echte Angebot wurde im Flug abgefangen und ersetzt.
- Bestätigungsanfragen, die du nicht ausgelöst hast. Auf deinem Handy erscheint eine Steam-Guard-Anfrage für einen Trade oder ein Market-Angebot, das du nie gestartet hast. Jemand anderes sitzt am Steuer.
- Ein Key, den du nie erstellt hast. Die API-Key-Seite zeigt einen registrierten Key mit einer unbekannten Domain. Betrugs-Skripte machen sich selten die Mühe mit glaubwürdigen Namen.
Eines dieser Zeichen genügt. Beende nicht den Trade, den du gerade gemacht hast, schick kein Test-Angebot mit etwas Wertvollem und geh direkt zur Aufräumaktion weiter unten.
Widerrufen, wechseln, zurückholen: die 15-Minuten-Aufräumaktion
Der Angreifer hat zwei Dinge: dein Passwort und den Key. Die Aufräumaktion nimmt ihm beides, in dieser Reihenfolge:
- Widerrufe den API-Key. Klick auf der API-Key-Seite auf "Revoke My Steam Web API Key". Das blendet das Skript sofort.
- Ändere dein Steam-Passwort. Der Key wurde mit Zugangsdaten untergeschoben, die immer noch funktionieren. Ein neuer Key kann morgen registriert werden, wenn du diesen Schritt auslässt.
- Melde alle anderen Geräte ab in den Steam-Guard-Einstellungen. Das beendet jede Sitzung, die der Angreifer noch halten könnte.
- Erzeuge eine neue Trade-URL in den Einstellungen für Trade-Angebote in deinem Inventar. Der alte Token liegt in der Datenbank des Angreifers, und ein frischer kappt diesen Faden.
- Prüf die API-Key-Seite einen Tag später erneut. Ein Key, der wieder auftaucht, bedeutet, dass eine Sitzung oder ein Zugangsdatum überlebt hat, also wiederhol die Abfolge und prüf auch das mit Steam verknüpfte E-Mail-Konto.
- Wenn die Items schon weg sind: Seit Valves Update vom Juli 2025 kannst du Trades geschützter Items innerhalb von sieben Tagen rückgängig machen, zum Preis einer 30-tägigen Handelssperre. Wie diese Rückabwicklung funktioniert und was sie auflöst, steht in unserem Trade-Hold-Guide.
Die zweite Welle ist ebenfalls Betrug. Nach einem öffentlich gewordenen Verlust schreiben dich Konten an, die gegen Gebühr "Inventar-Rückholung" anbieten oder sich als Steam-Mitarbeiter ausgeben. Valve-Mitarbeiter kontaktieren Spieler nicht über den Chat, und niemand kann Items außerhalb des 7-Tage-Rückabwicklungsfensters wiederherstellen. Das Rückhol-Angebot existiert, weil frisch betrogene Leute am leichtesten zu betrügen sind.
Gewohnheiten, die dich zu einem schweren Ziel machen
Jede Verteidigung gegen diesen Betrug passiert vor der Phishing-Seite, denn danach ist die Mechanik unsichtbar. Die Gewohnheiten, die zählen:
- Tipp steamcommunity.com selbst ein oder nutze ein Lesezeichen. Erreiche einen Steam-Login nie über einen Link, den dir jemand geschickt hat, egal wie gut der Grund klingt. Der echte Login zeigt den grünen "Über Steam anmelden"-Ablauf auf der echten Domain; prüf die Adressleiste Zeichen für Zeichen.
- Lies die Bestätigung wie einen Vertrag. Die Meldung auf dem Handy listet die genauen Items und den Empfänger. Zehn Sekunden echtes Lesen entlarven den optischen Klon, weil das Registrierungsdatum und das Level des Betrüger-Kontos nicht zu denen deines Partners passen.
- Behandle Zeitdruck als Warnzeichen. Abstimmungs-Fristen, ablaufende Boni und einstündige Messer-Rabatte gibt es, damit du den Blick auf die Adressleiste auslässt.
- Prüf deine API-Key-Seite monatlich. Das dauert zehn Sekunden und erwischt einen untergeschobenen Key, bevor er zuschlägt. Wenn du schon dabei bist, sieh dir an, welche Skin-Marktplätze deine Trade-Berechtigungen halten, und kappe die, die du nicht mehr nutzt.
Betrüger zielen auf liquide, hochwertige Items, weil die sich nach dem Diebstahl schnell bewegen. Wenn dein Inventar irgendetwas aus dieser Klasse enthält, geh davon aus, dass du schon auf jemandes Liste stehst. Aktuelle Preise für diese und jeden anderen Skin findest du in unserer CS2-Skin-Datenbank:
Prüf jede Trade-Seite, bevor du dich über Steam einloggst
Jeder Service auf SkinJudge hat einen Safety Score, Daten zur Firmen-Transparenz und Berichte von Tradern, die ihn genutzt haben. Dreißig Sekunden Prüfen schlagen einen Monat Zurückholen.
Die sichersten Services ansehenKönnen Skins allein mit meinem API-Key gestohlen werden, ohne mein Passwort?
Der Key allein kann deine Trades beobachten und stornieren, was den Austausch möglich macht, aber der volle Betrug braucht auch das gefälschte Angebot und deine Bestätigung. In der Praxis spielt die Frage selten eine Rolle, weil dieselbe Phishing-Seite, die den Key untergeschoben hat, auch dein Passwort mitgenommen hat. Behandle einen untergeschobenen Key als Beweis, dass deine Zugangsdaten verbrannt sind, und geh die ganze Aufräumaktion durch, nicht nur den Widerruf.
Macht mich der Widerruf des API-Keys wieder sicher?
Er beseitigt die Überwachung, was den Trade-Austausch sofort stoppt. Er loggt den Angreifer aber nicht aus und ändert nicht das Passwort, das er erbeutet hat, also kann er jederzeit einen neuen Key unterschieben. Der Widerruf ist Schritt eins von fünf: Passwort, Geräte-Abmeldung und eine neue Trade-URL schließen die übrigen Türen.
Bekomme ich meine gestohlenen Skins von Steam zurück?
Innerhalb von sieben Tagen kannst du es selbst tun: Trade Protection lässt den Absender Trades geschützter Items rückgängig machen, zum Preis einer 30-tägigen Handelssperre. Nach diesem Fenster lautet die Antwort seit Jahren nein. Valves erklärte Linie ist, dass Items über Bestätigungen weggehen, die du freigegeben hast, und der Support stellt sie nicht wieder her. Dieses Fenster ist das Sicherheitsnetz; ein zweites dahinter gibt es nicht.