Steam | Golpe usa falsa denúncia para roubar contas dos usuários

Não acredite em um contato direto de um usuário arrependido da Steam, pedindo desculpas por ter denunciado sua conta por engano: é a isca para tentar roubar suas credenciais na plataforma. O golpe simples, envolvendo engenharia social, aposta na tensão dos jogadores quanto a uma possível perda de seus perfis, com jogos e tudo, para obter logins e senhas de perfis que, mais tarde, são revendidos pelos criminosos.

• Ataques contra gamers foram os que mais cresceram durante a pandemia
• Minecraft é o título mais usado em ciberataques contra gamers

Trata-se de uma prática que, ainda que não seja exatamente sofisticada, ganha contornos mais diretos com os golpistas usando não apenas o sistema de mensagem da própria Steam mas também o Discord como meio de contato — o mensageiro vem tomando um espaço cada vez maior como vetor de golpes digitais. Telas manipuladas e mensagens traduzidas são usadas para dar maior aparência de legitimidade, com o uso do português brasileiro mostrando que usuários daqui também podem ser alvos.

A localização automática das mensagens, entretanto, ajuda a deixar ainda mais claro o golpe, com nomes oficiais como Steam e sua dona, a Valve, sendo traduzidos como “válvula de vapor”; ainda assim, o temor de perder perfis inteiros, muitos com dezenas de títulos e anos de progresso pode assustar muita gente e levar usuários incautos a realizarem o contato, por onde os golpistas solicitam as credenciais de acesso e, quando bem-sucedidos, acabam roubando a conta como um todo.

O golpe começa com um contato via mensagem direta no Discord, no qual o golpista diz ter denunciado o perfil do usuário por engano. O motivo, entretanto, é forte, envolvendo fraude no sistema de venda de cards ou itens no marketplace da Steam, elementos que certamente gerariam um banimento. Porém, há esperança, já que segundo o bandido, um representante de suporte da plataforma deixou um contato direto e, agora, é imprescindível que um contato seja feito para garantir a segurança do perfil.

O contato, entretanto, acontece por fora do sistema do próprio marketplace, por e-mail ou conversa direta no próprio Discord. Por lá, os usuários são incitados a entregarem e-mails e senhas de acesso, bem como códigos de autenticação em duas etapas que podem chegar tanto por correio eletrônico quanto pelo aplicativo da própria Steam, caso esteja ativado. Além disso, o pedido envolve que o próprio dono saia de sua conta, de forma a garantir uma verificação “adequada” do problema.

A vítima, muitas vezes, só percebe que caiu em um golpe quando é tarde demais. A ação subsequente dos golpistas envolve alterar e-mails de registro e outras informações da conta, de forma que o dono original não possa mais a acessar. Resta, então, tentar contato pelo suporte real da Steam, que nem sempre pode ajudar em casos desse tipo.

Contra o tempo

A falta de sofisticação é capaz de levantar suspeitas por parte dos usuários, e ainda que o contato inicial pareça disseminado em massa, a conversa com o falso funcionário da Valve acontece com o próprio golpista. E, sendo assim, caso o usuário questione, o padrão é exercer pressão, seja afirmando que há pouco prazo restante para que a denúncia seja revertida ou reforçando a perda completa das contas caso os pedidos não sejam cumpridos.

A versão do golpe que chega pelo Discord é apenas uma das mais recentes iterações de um golpe que acontece, pelo menos, desde 2018. De acordo com alerta feito no início deste ano pelos especialistas do Malwarebytes Labs, outros artifícios usados pelos criminosos envolvem o uso de contas roubadas de outras pessoas ou até mesmo supostos certificados de autenticidade de sua posição como representante do marketplace.

Enquanto o segundo caso é facilmente detectável pela bizarrice envolvida, o primeiro até pode ajudar no convencimento. A ideia é que, antes de serem revendidas, as contas fraudadas também são usadas na aplicação de novos golpes, já que um perfil com aparência real, com jogos atrelados, conquistas e tempo de utilização, ajuda ainda mais a garantir a credibilidade dos falsos representantes de suporte.

Desnecessário dizer, claro, que tais certificados não existem. Funcionários da Valve são identificados na Steam com um ícone exclusivo em seus perfis, assim como os moderadores oficiais de grupos e fóruns de discussão também possuem suas próprias insígnias. O mesmo também vale para ex-colaboradores da companhia e todos aqueles que possuam algum vínculo oficial a ela.

Ainda segundo os especialistas, os golpes desse tipo iniciaram, há três anos, de olho no mercado de itens raros de jogos como Counter-Strike: Global Offensive e outros. Agora, o foco também parece estar nas contas em si, ainda que tais artigos também sejam revendidos a partir delas para obtenção de lucro adicional para os golpistas.

Não leve a sério

A principal recomendação de segurança em casos desse tipo é ignorar o contato dos golpistas. Como se tratam, em sua maioria, de mensagens automatizadas, a denúncia alegada por eles pode nem mesmo existir de verdade; caso tenha sido efetivamente realizada, o suporte da Steam também deve verificar que está tudo certo com o seu perfil e ignorar o que foi reportado pelos criminosos.

Além disso, vale a pena lembrar que representantes de suporte da plataforma jamais entrarão em contato por perfis pessoais, mas sim, somente pelo espaço adequado no marketplace. Todo o trabalho de atendimento e resolução de problemas acontece pelo próprio serviço, por meio da opção de ajuda.

Por fim, valem as dicas gerais de segurança, que envolvem jamais entregar credenciais a terceiros e, muito menos, códigos de autenticação. Caso sistemas de autenticação em duas etapas já não estejam ativados em seus perfis, é importante fazer isso, de forma que um criminoso não consiga acesso mesmo que possua suas credenciais, como logins e senhas.

Falando nisso, outra medida básica é usar combinações diferentes de palavras-chave em cada plataforma ou serviço, de forma que eventuais vazamentos ou problemas em uma não resultem em intrusões em outras. Vale a pena, ainda, prestar atenção na hora de fazer downloads, que devem ser realizados sempre a partir de fontes oficiais, e evitar clicar em links que cheguem por mensagens ou e-mails a não ser que tenha certeza da veracidade do contato.