Jak oszuści naciągają graczy MMO
-
- Marcin Kosedowski,
- 24.04.2010, godz. 14:40
Handel wirtualnym złotem może być wart nawet 10 miliardów dolarów rocznie. Nie umknęło to uwadze cyberprzestępców, którzy rabują na potęgę graczy online.
Miliony osób grających w MMORPG, które co miesiąc opłacają abonament za swoje konta, kolekcjonując wirtualną walutę i przedmioty, nie mogły uciec uwadze cyberprzestępców. To miliony potencjalnych ofiar i miliardy dolarów do zrabowania.
Realne korzyści z wirtualnej kradzieży
Działanie cyberprzestępców ma dwie fazy. Po pierwsze muszą przejąć konto lub wirtualne przedmioty należące do postaci ofiary, a po drugie zamienić je na realne pieniądze. Należy wyciągnąć od użytkownika hasło do konta, przejąć kontrolę nad prowadzoną przez niego postacią i przekazać wirtualna przedmioty i złoto podstawionemu graczowi (w ulicznych przestępstwach takiego pośrednika nazywa się "słupem"). Następnie cyberprzestępca wystawia ukradzione przedmioty na aukcji internetowej lub szuka klientów na własną rękę, wykorzystując fora dyskusyjne związane z daną grą.
- Pod koniec 2009 roku w World of Warcraft grało ponad 12 milionów osób
- 220 dolarów kosztuje postać na 80 poziomie, najdroższe kosztują nawet 3 tys. dolarów
- 14 dolarów kosztuje PDF z instrukcjami jak zdobyć 80 poziom w 14 dni ($1 za godzinę grania, jeśli sprzedasz potem takie konto)
- Za 1 tys. sztuk złota płaci się na polskich aukcjach od 8 do 16 zł. W Europie kurs wynosi ok. 3-5 euro, w Ameryce nawet 20 dolarów
- Jedna firma oficjalnie sprzedaje na Allegro "czas poświęcony na zdobycie złota". Twierdzi, że odprowadza od tego podatki
- 400 tys. osób było zatrudnionych w 2008 roku na tzw. farmach, na których masowo generuje się wirtualne złoto w świecie gry. W Chinach gracze pracujący po 10-12 godzin dziennie otrzymują wynagrodzenie w wysokości 250 dolarów miesięcznie, to mniej niż 2 zł za godzinę pracy
- Handel wirtualnym złotem w World of Warcraft może być wart nawet 10 miliardów dolarów rocznie
- Najdroższe przedmioty z gry są warte 5 tys. sztuk złota. To ok. 100 dolarów, licząc wedle stawek z amerykańskich serwerów
W przypadku ataku na konta gier online cyberprzestępcy wykorzystują równie zaawansowane sztuczki, co w przypadku kradzieży haseł do banków internetowych i innych poważnych usług. Powód jest prosty - gracze płacą za wirtualną rozrywkę całkiem realną gotówką, posługując się kartami kredytowymi, PayPalem lub korzystając z serwisów aukcyjnych. Te ostatnie wykorzystywane są do handlu wirtualnymi przedmiotami ułatwiającymi rozgrywkę, sprzedaży wyhodowanych postaci czy zamiany pieniędzy ze świata gry na prawdziwą walutę.
Ataki phishingowe
Wyglądające na prawdziwe hiperłącze do strony us.battle.net/account/ w rzeczywistości przenosiło na spreparowaną witrynę, na której znajdowała się kopia rzeczywistego serwisu i formularz przechwytujący dane uwierzytelniające. "Z pewnością nie była to tania podróbka, z jakimi spotykaliśmy się wcześniej. Nawet doświadczeni użytkownicy mogą paść ofiarą takiego oszustwa" - ocenia Piotr Kupczyk z Kaspersky Lab.
Kiedy otrzymasz e-mail z przypomnieniem o kończącej się ważności konta, powinieneś zwrócić uwagę na kilka szczegółów. Pomogą one ustalić czy e-mail jest prawdziwy. Pierwszym co powinno odstraszyć, są błędy językowe i konstrukcja tekstu wskazująca, że e-mail został wygenerowany przez automatycznego tłumacza. Poważne firmy nigdy nie pozwalają sobie na błędy, więc taki e-mail jest prawdopodobnie fałszywy.
Kolejna charakterystyczna cecha to sfałszowane odnośniki i nazwy domen. Robi się to albo wprowadzając literówkę w nazwie długiej domeny (większość kombinacji w rodzaju wroldofwarcraft.com jest już zajęta), dodając w domenie znaki, które wyglądają podobnie do prawidłowych liter (worIdofwarcraft.com - czwarty znak to duża litera "i") albo ukrywając prawdziwy adres pod hiperłączem, którego widoczny tekst wskazuje na prawdziwą stronę, ale zapisane w kodzie HTML przekierowanie prowadzi do serwera cyberprzestępcy. Warto przy tym pamiętać, że adres wyświetlany pasku stanu przeglądarki po najechaniu na hiperłącze może zostać podmieniony. Podmieniony może być również adres e-mail nadawcy.
Inna sztuczka polega na przesłaniu formularza doładowującego konto przez e-mail. Prawdziwe firmy tego nie robią, gdyż takie dane nie są przekazywane w bezpieczny sposób. Logowanie i płatności powinny zawsze odbywać się na szyfrowanej stronie dostępnej przez protokół HTTPS. Do niedawna elementem pozwalającym stwierdzić, czy e-mail jest prawdziwy było zawarte w nim powitanie. Prawdziwe e-maile były adresowane do konkretnej osoby ("Dear John Smith"), a fałszywe unikały jakichkolwiek danych ("Dear Member"). Niestety oszuści coraz częściej potrafią dostać się do części danych i skojarzyć e-mail z nazwą użytkownika.
Phishing bywa łączony z socjotechniką. Atakujący wysyła sfałszowaną wiadomość, w której próbuje wzbudzić w graczu strach i zachęcić do natychmiastowej reakcji, bez dokładnego przyglądania się wiadomości. Przykładem może być ostrzeżenie, że ktoś właśnie próbuje zresetować ustawienia twojego konta - jeżeli chcesz potwierdzić, że to nie ty, kliknij w podane hiperłącze i zaloguj się na konto. W ten sposób przeprowadzono atak na użytkowników gry Aion w marcu. Warto przy tym zauważyć, że zwykle serwisy postępują odwrotnie: to zmiana ważnych ustawień wymaga kliknięcia w wysłany w wiadomości odnośnik.
Z tego powodu najlepiej zawsze wchodzić na stronę logowania z zapisanego w pamięci przeglądarki odnośnika. Warto także ustawić filtr poczty przekierowujący wiadomości z wiarygodnego adresu e-mail wydawcy gry do odpowiedniego folderu i odpowiadać tylko na nie.
