Обмен выглядел хорошо, потому что был вашим обменом
Вы договариваетесь об обмене с трейдером, с которым общаетесь два дня. Его оффер приходит, вы проверяете имя, аватар, возраст аккаунта. Всё сходится. Подтверждаете на телефоне, приложение показывает знакомую зелёную галочку, а через тридцать секунд ваш нож в инвентаре, который вы никогда не видели, на аккаунте, созданном в прошлый вторник.
Никто не угадал ваш пароль на месте, и никакой малварь в тот день не касался вашего компьютера. Атака произошла неделями раньше и длилась около четырёх секунд, когда вы залогинились на чём-то, что выглядело как страница голосования за турнир. Тот логин подложил на ваш аккаунт ключ Steam Web API, а ключ сделал остальное.
Скам на API-ключ чистит инвентари со времён CS:GO и до сих пор работает в 2026 по одной причине: каждая видимая деталь финального обмена настоящая. Ваш обмен, ваше подтверждение, ваше согласие в Steam Guard. Единственная подделка это получатель. Этот гайд разбирает механизм, признаки того, что ключ сидит на вашем аккаунте, и уборку, которая действительно убирает атакующего.
Ключ, который видит и отменяет ваши обмены
Ключ Steam Web API это функция для разработчиков. Любой может сгенерировать его для своего аккаунта на steamcommunity.com/dev/apikey, и он позволяет ПО работать с частью аккаунта без входа через сайт. Для торговли важны эти права:
- чтение ваших входящих и исходящих офферов обмена в реальном времени
- отмена и отклонение офферов обмена от вашего имени
- просмотр вашего инвентаря и инвентарей ваших партнёров по обмену
И тут неудобный нюанс: запрос API-ключа не является доказательством скама. Часть честных peer-to-peer площадок, в том числе Waxpeer, действительно использует ваш ключ, чтобы отслеживать, когда обмены доходят до конца. Трейдеры за годы привыкли относиться к ключу как к рутинному полю при регистрации, и именно этот рефлекс скам использует.
Значение имеет не сам ключ, а место, в котором вы были, когда он появился. Сгенерированный вами, на настоящем домене Steam, для сайта, который вы осознанно выбрали: обычное дело. Зарегистрированный по-тихому после того, как вы ввели пароль на сайте, подкинутом незнакомцем: это уже скам в процессе.
Тридцатисекундная проверка, прямо сейчас: откройте эту страницу API-ключа и посмотрите. Если ключ есть, а вы его никогда не создавали, или зарегистрированный домен это что-то вроде "localhost" или случайная белиберда, считайте аккаунт угнанным и перескочите к разделу об уборке.
Анатомия: четыре шага, один подтверждённый обмен
Этот скам это конвейер, а фишинговая страница в его начале это единственное звено, которое вы можете отбросить:
- Приманка. Ссылка приходит туда, где живут трейдеры: серверы Discord, комментарии на сайтах обмена, приглашения в Steam. Проголосуй за мою команду. Забери бесплатный кейс. Посмотри дешёвый нож. Сайт открывает копию окна входа в Steam до пикселя, а данные уходят атакующему.
- Подкладывание. Пользуясь свежей сессией, атакующий регистрирует на вашем аккаунте ключ Web API. Без письма, без уведомления, ничего видимого не меняется. Ключ может лежать неделями, пока вы торгуете как обычно, и поэтому жертвы редко связывают кражу с моментом фишинга.
- Подмена. Скрипт атакующего наблюдает за вашими исходящими офферами через ключ. В момент, когда вы отправляете настоящий обмен, скрипт его отменяет, а бот, переодетый в точное имя и аватар вашего партнёра, мгновенно шлёт замену. Оффер содержит те же предметы, поэтому на первый взгляд ничего не изменилось.
- Подтверждение. Телефон вибрирует, вы одобряете то, что считаете только что отправленным обменом, а Steam Guard не видит ничего плохого, потому что подтверждение действительно исходит с вашего аккаунта. Предметы переходят к подражателю.
You log in on a fake site
A lookalike Steam login page on a phishing site captures your credentials. Nothing visibly breaks, so you move on.
A key is planted
The attacker registers a Web API key on your account. It sits there silently, sometimes for weeks, watching your trades.
Your real trade is swapped
The moment you send a genuine offer, a script cancels it and a bot cloned from your partner's name and avatar sends an identical one.
You confirm, items leave
The mobile confirmation is real, so Steam Guard approves it. Your items go to the impostor, not your partner.
Обратите внимание на то, чего никогда не происходило: никто не обошёл двухфакторную аутентификацию. Этот скам не ломает Steam Guard, он пропускает кражу через ваше собственное согласие. Поэтому никакая настройка безопасности не остановит его, когда ключ уже сидит, и поэтому решение это удаление ключа, а не новые подтверждения.
Четыре признака, что мошенник кочует на вашем аккаунте
Подложенный ключ даёт симптомы. Большинство жертв видят хотя бы один из них и объясняют его тем, что Steam глючит:
- Ваши исходящие офферы сами отменяются. Вы отправляете оффер, а через пару секунд он значится как отменённый вами. Это самый сильный одиночный сигнал. Steam не отменяет офферы сам по себе, а бага, затрагивающего исключительно обмены, не существует.
- Партнёр так и не получает ваш оффер. Он смотрит на пустую страницу обмена, а ваш клиент утверждает, что оффер ушёл. Настоящий оффер был сбит в полёте и подменён.
- Запросы на подтверждение, которых вы не вызывали. На телефоне появляется требование Steam Guard для обмена или оффера на Market, который вы никогда не начинали. Кто-то другой сидит за рулём.
- Ключ, который вы не создавали. Страница API-ключа показывает регистрацию с незнакомым доменом. Мошеннические скрипты редко силятся на правдоподобные названия.
Достаточно одного из этих признаков. Не завершайте обмен, который только что делали, не отправляйте пробный оффер с чем-то ценным и переходите прямо к уборке ниже.
Отозвать, сменить, вернуть: 15 минут уборки
У атакующего есть две вещи: ваш пароль и ключ. Уборка забирает у него обе, в таком порядке:
- Отзовите API-ключ. На странице ключа нажмите "Revoke My Steam Web API Key". Это мгновенно ослепляет скрипт.
- Смените пароль от Steam. Ключ был подложен с помощью данных, которые всё ещё работают. Если пропустите этот шаг, завтра может появиться новый ключ.
- Выйдите из аккаунта на всех других устройствах в настройках Steam Guard. Это завершает любую сессию, которую атакующий может ещё держать.
- Сгенерируйте новый trade URL в настройках офферов обмена в инвентаре. Старый токен сидит в базе атакующего, а свежий обрубает эту нить.
- Проверьте страницу API-ключа на следующий день. Ключ, который возвращается, означает, что уцелела какая-то сессия или пароль, поэтому повторите последовательность и проверьте также почтовый ящик, привязанный к Steam.
- Если предметы уже ушли: с обновления Valve от июля 2025 вы можете отменить обмены защищённых предметов в течение семи дней, ценой 30-дневной блокировки торговли. Как работает эта отмена и что именно она распутывает, мы описали в нашем гайде по трейд-холдам.
Вторая волна тоже скам. После публичной потери напишут аккаунты, предлагающие "возврат инвентаря" за плату или выдающие себя за сотрудников Steam. Сотрудники Valve не связываются с игроками в чате, а никто не вернёт предметы вне 7-дневного окна отмены. Предложение возврата существует потому, что свежеобманутые люди легче всего поддаются обману.
Привычки, которые делают из вас трудную цель
Вся защита от этого скама происходит до фишинговой страницы, потому что после неё механика невидима. Привычки, которые имеют значение:
- Вводите вручную или используйте закладку на steamcommunity.com. Никогда не заходите в вход Steam по ссылке, которую вам прислали, как бы хорошо ни звучал повод. Проверяйте адресную строку знак за знаком.
- Читайте подтверждение как договор. Уведомление в приложении перечисляет конкретные предметы и получателя. Десять секунд фактического чтения обезоруживают визуального клона, потому что дата регистрации и уровень аккаунта подражателя не совпадут с вашим партнёром.
- Считайте временное давление красным флагом. Дедлайны голосований, истекающие бонусы и часовые акции на ножи существуют ради того, чтобы вы пропустили проверку адресной строки.
- Раз в месяц заглядывайте на страницу API-ключа. Это занимает десять секунд и вылавливает подложенный ключ, прежде чем он выстрелит. Заодно просмотрите, какие площадки для скинов держат ваши права на обмены, и отрежьте те, которыми вы больше не пользуетесь.
Мошенники целятся в ликвидные, дорогие предметы, потому что те быстро исчезают после кражи. Если в вашем инвентаре есть что-то с этой полки, считайте, что вы уже в чьём-то списке. Актуальные цены этих и всех остальных скинов ищите в нашей базе скинов CS2:
Проверьте сайт обмена, прежде чем логиниться через Steam
У каждого сервиса на SkinJudge есть Оценка безопасности, данные о прозрачности компании и сообщения от трейдеров, которые им пользовались. Тридцать секунд проверки бьют месяц возврата.
Смотреть самые безопасные сервисыМожно ли украсть скины одним API-ключом, без пароля?
Сам ключ видит и отменяет ваши обмены, что делает подмену возможной, но полному скаму нужны ещё поддельный оффер и ваше подтверждение. На практике этот вопрос редко имеет значение, потому что та же фишинговая страница, которая подложила ключ, забрала и пароль. Подложенный ключ считайте доказательством того, что ваши данные входа сожжены, и пройдите всю уборку, а не один отзыв ключа.
Достаточно ли отозвать API-ключ, чтобы быть в безопасности?
Это убирает просмотр, что мгновенно останавливает подмену обменов. Но не выкидывает атакующего из аккаунта и не меняет пароль, который он перехватил, поэтому новый ключ он может подложить, когда захочет. Отзыв это первый шаг из пяти: пароль, выход из аккаунта на устройствах и новый trade URL закрывают остальные двери.
Вернёт ли Steam мои украденные скины?
В течение семи дней вы можете сделать это сами: Trade Protection позволяет отправителю отменить обмены защищённых предметов, ценой 30-дневной блокировки торговли. После этого окна ответ уже годами звучит как нет. Официальная позиция Valve такова, что предметы ушли по подтверждениям, которые вы одобрили, и поддержка их не возвращает. Это окно это страховочная сетка; второй за ним нет.