Conta Steam hackeada ou roubada: como recuperar e proteger
Resposta rápida
Se sua conta Steam foi hackeada, aja imediatamente: recupere o acesso pelo Steam Support (help.steampowered.com), troque a senha da conta e do e-mail vinculado e use "desautorizar todos os dispositivos" para encerrar as sessões do invasor. O ataque costuma vir de phishing (sites falsos de voto, troca de itens ou código Steam Guard) ou de malware que rouba a sessão. Quanto antes você agir, maior a chance de bloquear trocas e recuperar itens.
A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores. Cuida da segurança de um negócio? Comece pelo plano gratuito de Gestão de Ameaças.
Sinais de alerta
- ›Você não consegue mais entrar com a senha que sempre funcionou, ou o Steam pede um código que não chega no seu e-mail/telefone.
- ›Chegaram e-mails da Valve confirmando troca de e-mail, de senha ou de número de telefone que você não solicitou.
- ›Itens do inventário (skins, cartas, chaves) sumiram ou há ofertas de troca e vendas no Mercado que você não fez.
- ›Amigos relatam mensagens estranhas suas no chat, com links de "votação", "presente grátis" ou pedidos de voto em torneio.
- ›Aparecem novas autorizações de dispositivo ou logins de locais e IPs que você não reconhece no histórico de acesso.
- ›O Steam Guard foi desativado, trocado para outro celular ou você foi desconectado de todos os aparelhos sem motivo.
Passo a passo — o que fazer
- 1
1. Tente recuperar pelo Steam Support agora
Acesse help.steampowered.com em outro dispositivo, escolha "Não consigo acessar minha conta" e siga a verificação de identidade. A Valve aceita comprovar a posse por e-mail, telefone, chaves de jogos compradas ou histórico de compra. Não dependa só da senha, que o invasor já trocou.
- 2
2. Troque a senha do e-mail vinculado primeiro
Antes de mexer no Steam, garanta o e-mail associado à conta: troque a senha do provedor (Gmail, Outlook etc.) e revise regras de encaminhamento e filtros. Quem controla o e-mail controla a recuperação da Steam; sem ele, o atacante reverte qualquer mudança que você fizer.
- 3
3. Redefina a senha da Steam
Com o e-mail seguro, redefina a senha da Steam por uma forte e exclusiva, nunca reutilizada em outro serviço. Faça isso pelo cliente oficial ou por store.steampowered.com digitado à mão, jamais por links recebidos em chat, e-mail ou Discord.
- 4
4. Desautorize todos os dispositivos
Em Configurações da conta, use "Gerenciar Steam Guard" e "Desautorizar todos os dispositivos" para invalidar as sessões ativas, inclusive a do invasor. Isso obriga um novo login com Steam Guard em cada aparelho e corta o acesso baseado em sessão roubada.
- 5
5. Reative e reforce o Steam Guard
Configure o Steam Guard Mobile Authenticator (app oficial Steam) no seu próprio celular. Ele é mais forte que o código por e-mail e adiciona a confirmação de trocas. Confira também o número de telefone e o e-mail cadastrados, removendo qualquer dado inserido pelo invasor.
- 6
6. Bloqueie e reverta trocas e vendas
Pelo Steam Support, abra um chamado sobre trocas e itens não autorizados. A Valve pode reverter trocas recentes feitas por conta comprometida. Verifique o histórico de trocas e o Mercado e cancele listagens ativas que você não criou.
- 7
7. Verifique o computador contra malware
Se o roubo aconteceu mesmo com Steam Guard, suspeite de infostealer que copiou seus cookies/sessão. Rode uma varredura completa com antivírus atualizado, atualize o sistema e, em caso de dúvida, troque as senhas só depois de limpar a máquina.
- 8
8. Revise pagamentos e contas reutilizadas
Cheque a carteira Steam, cartões salvos e o histórico de compras por cobranças indevidas e avise o banco se houver. Troque a senha em qualquer outro serviço onde você usava a mesma combinação de e-mail e senha da Steam.
O que NÃO fazer
- ✕Não clique em links de "vote em mim", "item grátis" ou "você ganhou" enviados por amigos ou no chat: é a isca mais comum de phishing de roubo de conta.
- ✕Não digite seu login, senha ou código Steam Guard em sites que não sejam steampowered.com ou steamcommunity.com, mesmo que pareçam idênticos ao oficial.
- ✕Não compartilhe o código do Steam Guard com ninguém: a Valve nunca pede esse código por chat, e quem pede está tentando assumir sua conta.
- ✕Não reutilize a mesma senha da Steam em e-mail, banco ou redes sociais; um vazamento em qualquer um deles entrega todos os outros.
- ✕Não negocie a "devolução" da conta com o invasor nem pague resgate: recupere apenas pelos canais oficiais do Steam Support.
Como as contas Steam são roubadas
O vetor mais comum não quebra a senha por força bruta: ele engana o dono. Golpes de "voto" pedem que você entre num site para apoiar um time ou jogador; o site é uma cópia da tela de login da Steam que captura usuário, senha e até o código Steam Guard em tempo real, repassando-os ao atacante enquanto ele faz o login verdadeiro.
Variações incluem falsas trocas de itens, ofertas de skins "grátis", supostos prêmios e mensagens de amigos cuja conta já caiu. O phishing de SteamGuard é especialmente perigoso porque pede o código no momento exato, contornando a sensação de que a verificação em duas etapas torna a conta intocável.
O segundo grande vetor é o malware infostealer. Programas distribuídos como "cheats", cracks, mods ou instaladores piratas copiam arquivos de sessão, cookies do navegador e credenciais salvas. Com o token de sessão, o invasor entra sem precisar da senha nem do Steam Guard, porque reaproveita uma sessão já autenticada no seu computador.
Recuperar o acesso passo a passo
A recuperação gira em torno de duas posses: o e-mail vinculado e o telefone do Steam Guard. Comece protegendo o e-mail, porque ele é a chave-mestra de redefinição. Em seguida, vá ao Steam Support (help.steampowered.com), informe que não consegue acessar a conta e prove a identidade pelo histórico de compras e chaves de jogos, mesmo que o invasor tenha trocado e-mail e telefone.
Depois de retomar o login, desautorize todos os dispositivos para derrubar as sessões ativas, redefina a senha por uma exclusiva e reative o Steam Guard Mobile Authenticator no seu aparelho. Por fim, abra um chamado para reverter trocas e vendas não autorizadas: a Valve costuma conseguir restaurar itens de contas comprometidas dentro de uma janela de tempo, então o relato rápido importa.
Documente tudo: prints de e-mails de confirmação que você não pediu, datas de logins suspeitos e números de chamados. Esse registro acelera o atendimento e ajuda a Valve a distinguir o dono legítimo do invasor.
Cuida da segurança de uma empresa?
Veja de graça o que já vazou do seu negócio.
O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem equipe técnica.
Comece grátis agoraO elo entre sua conta pessoal e o trabalho
O roubo de uma conta de jogo raramente fica restrito ao jogo. A senha que vazou da Steam, se for a mesma do e-mail corporativo, do VPN ou de um painel administrativo, transforma um incidente pessoal em porta de entrada para a empresa. É o chamado credential stuffing: atacantes testam combinações vazadas em larga escala contra serviços corporativos.
O infostealer agrava o quadro. O mesmo malware que copiou a sessão da Steam costuma varrer o navegador inteiro, levando senhas salvas de sistemas de trabalho, tokens de sessão de aplicações corporativas e cookies de SSO. Por isso o CERT.br recomenda separar contas, usar gerenciador de senhas e nunca reutilizar credenciais entre o ambiente pessoal e o profissional.
Para a empresa, o aprendizado prático é direto: monitorar credenciais expostas, exigir autenticação em duas etapas resistente a phishing e orientar a equipe a tratar dispositivos pessoais como parte da superfície de ataque. Na Decripte, organizações de 1 a mais de 100.000 colaboradores começam com um plano gratuito para mapear credenciais vazadas e reduzir esse risco. Fale com a Decripte e avalie o que já está exposto.
Como reduzir o risco de uma próxima vez
Ative o Steam Guard Mobile Authenticator em vez do código por e-mail, use uma senha longa e única gerada por gerenciador de senhas e revise periodicamente os dispositivos autorizados. Mantenha o e-mail vinculado protegido com verificação em duas etapas, já que ele é o ponto único de falha da recuperação.
Desconfie por padrão: a Steam nunca pede seu código de autenticação por chat, e links externos pedindo login são quase sempre phishing. Não instale cheats, cracks nem mods de fontes não oficiais, que são o principal canal de infostealers.
No nível pessoal e corporativo, a higiene é a mesma: senhas exclusivas por serviço, MFA forte, software atualizado e atenção a qualquer e-mail de confirmação que você não solicitou. Pequenos sinais ignorados costumam preceder o sequestro completo da conta.
Termos importantes
- Steam Guard
- Sistema de autenticação em duas etapas da Valve. Pode operar por código enviado ao e-mail ou, de forma mais segura, pelo Steam Guard Mobile Authenticator, que gera códigos no celular e confirma trocas e vendas.
- Infostealer
- Tipo de malware que rouba informações armazenadas no dispositivo: senhas salvas, cookies, tokens de sessão e arquivos de credenciais. Permite acessar contas sem precisar da senha digitada, reaproveitando sessões já autenticadas.
- Phishing
- Fraude que imita páginas ou mensagens legítimas para induzir a vítima a entregar dados como login, senha e códigos de verificação. No contexto Steam, aparece como sites falsos de voto, troca de itens ou prêmios.
- Credential stuffing
- Ataque que reaproveita combinações de e-mail e senha vazadas, testando-as automaticamente em outros serviços. Funciona porque muitas pessoas reutilizam a mesma senha entre contas pessoais e de trabalho.
Perguntas frequentes
A Valve consegue recuperar minha conta mesmo se o invasor trocou e-mail e telefone?
Sim. Pelo Steam Support você prova a posse por outros meios, como histórico de compras, chaves de jogos resgatadas e dados de pagamento. Esses comprovantes permitem ao suporte devolver a conta ao dono legítimo, mesmo com e-mail e telefone alterados pelo atacante.
Itens e skins roubados podem ser devolvidos?
Em muitos casos, sim. A Valve costuma reverter trocas feitas por uma conta comprometida quando você reporta rapidamente pelo Steam Support. Quanto antes abrir o chamado, maior a chance, porque há uma janela de tempo para a reversão de trocas e vendas.
Tenho Steam Guard ativo. Como ainda assim roubaram minha conta?
Por dois caminhos: phishing que pede o código em tempo real num site falso, ou malware infostealer que copia a sessão já autenticada do seu computador. No segundo caso, o invasor não precisa do código, pois reaproveita o token de sessão existente.
Devo trocar a senha do meu e-mail também?
Sim, e antes de tudo. O e-mail vinculado é a chave de recuperação da Steam. Se ele estiver comprometido, o invasor reverte qualquer mudança que você fizer. Troque a senha do e-mail, ative a verificação em duas etapas e revise filtros e encaminhamentos.
Isso pode afetar minha empresa?
Pode, em duas frentes. Se você reutilizava a senha da Steam em serviços de trabalho, o vazamento vira risco corporativo via credential stuffing. E o infostealer que roubou a Steam pode ter copiado senhas e sessões de sistemas profissionais salvos no mesmo navegador.
Como a Decripte ajuda nesse cenário?
A Decripte monitora credenciais e dados expostos em vazamentos, ajudando organizações de 1 a mais de 100.000 colaboradores a identificar senhas comprometidas antes que sejam exploradas. Há um plano gratuito para começar a mapear a exposição e priorizar a troca de credenciais.
É seguro pagar para o invasor devolver a conta?
Não. Pagar resgate não garante a devolução e ainda financia o golpe. Use somente o Steam Support oficial para recuperar a conta. Negociar com o atacante apenas confirma que você é um alvo disposto a pagar.
Segurança para empresas
A Decripte protege empresas de todos os tamanhos — do MEI ao Enterprise.
Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade. Comece de graça e veja o que já vazou do seu negócio.
