Przejdź do treści
Bezpieczeństwo i oszustwa

Scam na klucz API: jak traderzy CS2 tracą całe ekwipunki w jednym trade

Oferta wymiany, którą potwierdziłeś, była prawdziwa. Konto, które dostało twoje skiny, już nie. Oto jak krok po kroku działa scam na klucz Steam Web API, cztery sygnały ostrzegawcze i 15-minutowe sprzątanie, które go ucina.

Alex Chen8 min czytania

Trade wyglądał dobrze, bo był twoim trade'em

Umawiasz się na wymianę z traderem, z którym rozmawiasz od dwóch dni. Jego oferta przychodzi, sprawdzasz nazwę, awatar, staż konta. Wszystko się zgadza. Potwierdzasz na telefonie, aplikacja pokazuje znajomy zielony znaczek, a trzydzieści sekund później twój nóż jest w ekwipunku, którego nigdy nie widziałeś, na koncie założonym w zeszły wtorek.

Nikt nie zgadł twojego hasła na miejscu i żaden malware nie dotknął tego dnia twojego komputera. Atak wydarzył się tygodnie wcześniej i trwał około czterech sekund, kiedy zalogowałeś się na czymś, co wyglądało jak strona głosowania na turniej. Tamto logowanie podłożyło na twoim koncie klucz Steam Web API, a klucz zrobił resztę.

Scam na klucz API czyści ekwipunki od czasów CS:GO i wciąż działa w 2026 z jednego powodu: każdy widoczny szczegół finałowej wymiany jest prawdziwy. Twój trade, twoje potwierdzenie, twoja zgoda w Steam Guard. Jedyną podróbką jest odbiorca. Ten przewodnik przechodzi przez mechanizm, sygnały ostrzegawcze, że klucz siedzi na twoim koncie, i sprzątanie, które naprawdę usuwa atakującego.

Klucz, który widzi i anuluje twoje wymiany

Klucz Steam Web API to funkcja dla deweloperów. Każdy może wygenerować go dla własnego konta na steamcommunity.com/dev/apikey, a pozwala on oprogramowaniu działać na części konta bez logowania przez stronę. Dla handlu liczą się te uprawnienia:

  • odczyt twoich przychodzących i wychodzących ofert wymiany w czasie rzeczywistym
  • anulowanie i odrzucanie ofert wymiany w twoim imieniu
  • podgląd twojego ekwipunku i twoich partnerów wymian

I tu niewygodny niuans: prośba o klucz API nie jest dowodem scamu. Część uczciwych marketplace'ów peer-to-peer, między innymi Waxpeer, naprawdę używa twojego klucza do śledzenia, kiedy wymiany dochodzą do skutku. Traderzy przez lata przywykli traktować klucz jak rutynowe pole przy rejestracji i dokładnie ten odruch scam wykorzystuje.

Nie liczy się sam klucz, tylko miejsce, w którym byłeś, kiedy powstał. Wygenerowany przez ciebie, na prawdziwej domenie Steam, dla strony, którą świadomie wybrałeś: normalna sprawa. Zarejestrowany po cichu po tym, jak wpisałeś hasło na stronie podesłanej przez obcego: to już scam w toku.

Trzydziestosekundowy test, teraz: otwórz tę stronę klucza API i spójrz. Jeśli klucz istnieje, a ty nigdy go nie tworzyłeś, albo zarejestrowana domena to coś w rodzaju "localhost" lub losowy bełkot, potraktuj konto jako przejęte i przeskocz do sekcji o sprzątaniu.

Anatomia: cztery kroki, jeden potwierdzony trade

Ten scam to taśma produkcyjna, a strona phishingowa na jej początku jest jedynym ogniwem, które możesz odrzucić:

  1. Przynęta. Link przychodzi tam, gdzie żyją traderzy: serwery Discorda, komentarze na stronach wymian, zaproszenia na Steam. Zagłosuj na moją drużynę. Odbierz darmową skrzynkę. Zobacz taniego noża. Strona otwiera kopię okna logowania Steam co do piksela, a dane trafiają do atakującego.
  2. Podrzucenie. Korzystając ze świeżej sesji, atakujący rejestruje na twoim koncie klucz Web API. Bez maila, bez powiadomienia, nic się widocznie nie zmienia. Klucz może leżeć tygodniami, podczas gdy ty handlujesz normalnie, i dlatego ofiary rzadko łączą kradzież z momentem phishingu.
  3. Podmiana. Skrypt atakującego obserwuje twoje wychodzące oferty przez klucz. W chwili, gdy wysyłasz prawdziwego trade'a, skrypt go anuluje, a bot przebrany za dokładną nazwę i awatar twojego partnera natychmiast wysyła zamiennik. Oferta zawiera te same przedmioty, więc na pierwszy rzut oka nic się nie zmieniło.
  4. Potwierdzenie. Telefon wibruje, zatwierdzasz coś, co uważasz za wysłaną przed chwilą wymianę, a Steam Guard nie widzi nic złego, bo potwierdzenie naprawdę pochodzi z twojego konta. Przedmioty przechodzą do podszywacza.
Jak przebiega scam na klucz API
Krok 1

Logujesz się na fałszywej stronie

Podrobiona strona logowania Steam na phishingowej domenie przechwytuje twoje dane. Nic się nie psuje, więc idziesz dalej.

Krok 2

Ktoś podkłada klucz

Atakujący rejestruje klucz Web API na twoim koncie. Klucz siedzi cicho, czasem tygodniami, i obserwuje twoje wymiany.

Krok 3

Twój prawdziwy trade zostaje podmieniony

Gdy tylko wysyłasz prawdziwą ofertę, skrypt ją anuluje, a bot z nazwą i awatarem twojego partnera wysyła identyczną.

Krok 4

Potwierdzasz, przedmioty znikają

Potwierdzenie w aplikacji jest prawdziwe, więc Steam Guard je przepuszcza. Przedmioty idą do podszywacza, nie do partnera.

Zwróć uwagę, co się nigdy nie wydarzyło: nikt nie obszedł weryfikacji dwuetapowej. Ten scam nie łamie Steam Guard, on przepuszcza kradzież przez twoją własną zgodę. Dlatego żadne ustawienie bezpieczeństwa nie zatrzyma go, gdy klucz już siedzi, i dlatego rozwiązaniem jest usunięcie klucza, a nie kolejne potwierdzenia.

Cztery znaki, że scammer koczuje na twoim koncie

Podłożony klucz daje objawy. Większość ofiar widzi przynajmniej jeden z nich i tłumaczy go sobie tym, że Steam się sypie:

  • Twoje wychodzące oferty same się anulują. Wysyłasz ofertę, a kilka sekund później widnieje jako anulowana przez ciebie. To najsilniejszy pojedynczy sygnał. Steam nie anuluje ofert sam z siebie, a bug dotykający wyłącznie wymian nie istnieje.
  • Partner nigdy nie dostaje twojej oferty. On patrzy na pustą stronę wymiany, a twój klient twierdzi, że oferta poszła. Prawdziwa oferta została zestrzelona w locie i podmieniona.
  • Prośby o potwierdzenie, których nie wywołałeś. Na telefonie pojawia się żądanie Steam Guard dla wymiany albo oferty na Markecie, której nigdy nie zaczynałeś. Ktoś inny siedzi za kierownicą.
  • Klucz, którego nie tworzyłeś. Strona klucza API pokazuje rejestrację z nieznajomą domeną. Skrypty scamerskie rzadko silą się na wiarygodne nazwy.

Wystarczy jeden z tych znaków. Nie kończ wymiany, którą właśnie robiłeś, nie wysyłaj testowej oferty z niczym wartościowym i przejdź prosto do sprzątania poniżej.

Odwołaj, wymień, odzyskaj: 15 minut sprzątania

Atakujący ma dwie rzeczy: twoje hasło i klucz. Sprzątanie zabiera mu obie, w tej kolejności:

  1. Odwołaj klucz API. Na stronie klucza kliknij "Revoke My Steam Web API Key". To natychmiast oślepia skrypt.
  2. Zmień hasło do Steam. Klucz został podłożony za pomocą danych, które wciąż działają. Jeśli pominiesz ten krok, jutro może powstać nowy klucz.
  3. Wyloguj wszystkie inne urządzenia w ustawieniach Steam Guard. To kończy każdą sesję, którą atakujący może jeszcze trzymać.
  4. Wygeneruj nowy trade URL w ustawieniach ofert wymiany w ekwipunku. Stary token siedzi w bazie atakującego, a świeży ucina tę nitkę.
  5. Sprawdź stronę klucza API dzień później. Klucz, który wraca, oznacza, że przetrwała jakaś sesja albo hasło, więc powtórz sekwencję i sprawdź też konto e-mail podpięte do Steam.
  6. Jeśli przedmioty już wyszły: od aktualizacji Valve z lipca 2025 możesz cofnąć wymiany chronionych przedmiotów w ciągu siedmiu dni, za cenę 30-dniowej blokady handlu. Jak działa to cofnięcie i co dokładnie rozplątuje, opisaliśmy w naszym przewodniku po trade holdach.

Druga fala to też scam. Po publicznej stracie odezwą się konta oferujące "odzyskanie ekwipunku" za opłatą albo podające się za pracowników Steam. Pracownicy Valve nie kontaktują się z graczami na czacie, a nikt nie przywróci przedmiotów poza 7-dniowym oknem cofnięcia. Oferta odzyskiwania istnieje dlatego, że świeżo oszukani ludzie są najłatwiejsi do oszukania.

Nawyki, które robią z ciebie trudny cel

Cała obrona przed tym scamem dzieje się przed stroną phishingową, bo po niej maszyneria jest niewidzialna. Nawyki, które mają znaczenie:

  • Wpisuj ręcznie albo używaj zakładki do steamcommunity.com. Nigdy nie wchodź w logowanie Steam przez link, który ktoś ci przysłał, niezależnie od tego, jak dobrze brzmi powód. Sprawdzaj pasek adresu znak po znaku.
  • Czytaj potwierdzenie jak umowę. Powiadomienie w aplikacji wymienia konkretne przedmioty i odbiorcę. Dziesięć sekund faktycznego czytania rozbraja wizualnego klona, bo data rejestracji i poziom konta podszywacza nie będą się zgadzać z twoim partnerem.
  • Traktuj presję czasu jako czerwoną flagę. Terminy głosowań, wygasające bonusy i godzinne promocje na noże istnieją po to, żebyś pominął sprawdzenie paska adresu.
  • Raz w miesiącu zajrzyj na stronę klucza API. Zajmuje to dziesięć sekund i wyłapuje podłożony klucz, zanim wypali. Przy okazji przejrzyj, które marketplace'y skinów trzymają twoje uprawnienia do wymian, i odetnij te, których już nie używasz.

Scammerzy celują w płynne, drogie przedmioty, bo te szybko znikają po kradzieży. Jeśli twój ekwipunek zawiera coś z tej półki, załóż, że już jesteś na czyjejś liście. Aktualne ceny tych i wszystkich innych skinów znajdziesz w naszej bazie skinów CS2:

Sprawdź stronę wymian, zanim zalogujesz się przez Steam

Każda usługa na SkinJudge ma Safety Score, dane o przejrzystości firmy i zgłoszenia od traderów, którzy z niej korzystali. Trzydzieści sekund sprawdzania bije miesiąc odzyskiwania.

Zobacz najbezpieczniejsze serwisy

Czy można ukraść skiny samym kluczem API, bez hasła?

Sam klucz widzi i anuluje twoje wymiany, co umożliwia podmianę, ale pełny scam potrzebuje jeszcze podrobionej oferty i twojego potwierdzenia. W praktyce to pytanie rzadko ma znaczenie, bo ta sama strona phishingowa, która podłożyła klucz, zabrała też hasło. Podłożony klucz traktuj jako dowód, że twoje dane logowania są spalone, i przejdź całe sprzątanie, nie samo odwołanie klucza.

Czy odwołanie klucza API wystarczy, żebym był bezpieczny?

Usuwa podgląd, co natychmiast zatrzymuje podmienianie wymian. Nie wylogowuje jednak atakującego ani nie zmienia hasła, które przechwycił, więc nowy klucz może podłożyć, kiedy zechce. Odwołanie to krok pierwszy z pięciu: hasło, wylogowanie urządzeń i nowy trade URL zamykają pozostałe drzwi.

Czy Steam odda mi skradzione skiny?

W ciągu siedmiu dni możesz zrobić to sam: Trade Protection pozwala nadawcy cofnąć wymiany chronionych przedmiotów, za cenę 30-dniowej blokady handlu. Po tym oknie odpowiedź od lat brzmi nie. Oficjalne stanowisko Valve jest takie, że przedmioty wyszły przez potwierdzenia, które zatwierdziłeś, i support ich nie przywraca. To okno jest siatką bezpieczeństwa; drugiej za nim nie ma.

CS2scamAPI keySteamaccount securityphishing