Сайт как Steam - как это фейк?

Подтягивают CSS и картинки с легальных CDN, а форма сидит на чужом домене. Смотрите регистрируемое имя хоста и сертификат, а не логотип.

Уже ввёл пароль - что делать?

Сменить пароль только с официального домена Steam на по возможности чистом устройстве, завершить сессии, проверить устройства Steam Guard и почту.

Ставить расширение «антифишинг Steam»?

Только от известных авторов с открытым аудитом; фальшивые «безопасные» расширения уже крали куки.

Просят пароль и код Guard на одной странице - нормально?

Официальный Steam не смешивает эти шаги на стороннем сайте. Закройте вкладку и откройте клиент вручную.

Можно ли проверить ссылку через «короткий» редирект?

Редиректы скрывают конечный домен - лучше не кликать; вводите steamcommunity.com или steampowered.com сами.

Что делать модераторам стрима?

Использовать генератор правил чата и спеки channel points для единых ответов.

Куда жаловаться на фишинг-домен?

Сообщайте регистратору/хостеру и в официальную поддержку Steam с URL и временем - это помогает блокировкам.

Этот гайд заменяет поддержку Steam?

Нет. Это практические сигналы; при краже инвентаря - только официальный тикет.

Поддельные страницы входа Steam: признаки и безопасная реакция

Мошенники ведут на страницы с украденным оформлением Steam: визуально «как у Valve», но форма отправляет данные на чужой сервер. Ваша задача - не кормить форму: проверить домен, не торопиться и связать реакцию с Steam Guard.

Официальные домены для входа и сообщества: steampowered.com, steamcommunity.com (и связанные CDN для статики - но не для ввода пароля на левом хосте).

Красные флаги

Домен и TLS

Хост не совпадает с официальными зонами Valve для ввода учётных данных.
Браузер ругается на сертификат - не жмите «продолжить ради турнира».

Социальная давка

«Админ турнира», «разморозка трейда», «проверка Vac» за 60 секунд.
QR в Discord/Telegram на логин, который вы не начинали.

Типичные заблуждения

«Раз есть замок HTTPS, значит сайт настоящий» - нет; HTTPS выдают и мошенникам.
«Друг скинул ссылку - значит безопасно» - аккаунт друга тоже могут взломать.

Стримерам и модераторам

Стандартизируйте ответы: генератор правил чата и спеки channel points снижают хаос в чате и экономят нервы модераторам.

Связка с Guard

Повторяйте аудитории: не подтверждайте вход, если вы сами не нажимали «войти». Полный цикл - в базе Steam Guard.

Если увели инвентарь или списали баланс

Только официальный тикет поддержки Steam с временными метками и скриншотами из официального клиента. «Брокеры восстановления» в личке - развод.

Кому этот риск особенно актуален

Трейдеры и держатели дорогого инвентаря.
Люди, которые входят в Steam с чужих ПК без выхода из сессии.
Пользователи с десятком «удобных» расширений в браузере.

См. также

Семейный доступ - социальные сценарии общего ПК.
Региональные цены - чтобы не спутать легитимное письмо о платеже с фишингом.

Вопросы и ответы

Сайт как Steam - как это фейк?: Подтягивают CSS и картинки с легальных CDN, а форма сидит на чужом домене. Смотрите регистрируемое имя хоста и сертификат, а не логотип.
Уже ввёл пароль - что делать?: Сменить пароль только с официального домена Steam на по возможности чистом устройстве, завершить сессии, проверить устройства Steam Guard и почту.
Ставить расширение «антифишинг Steam»?: Только от известных авторов с открытым аудитом; фальшивые «безопасные» расширения уже крали куки.
Просят пароль и код Guard на одной странице - нормально?: Официальный Steam не смешивает эти шаги на стороннем сайте. Закройте вкладку и откройте клиент вручную.
Можно ли проверить ссылку через «короткий» редирект?: Редиректы скрывают конечный домен - лучше не кликать; вводите steamcommunity.com или steampowered.com сами.
Что делать модераторам стрима?: Использовать генератор правил чата и спеки channel points для единых ответов.
Куда жаловаться на фишинг-домен?: Сообщайте регистратору/хостеру и в официальную поддержку Steam с URL и временем - это помогает блокировкам.
Этот гайд заменяет поддержку Steam?: Нет. Это практические сигналы; при краже инвентаря - только официальный тикет.