Wykorzystują w tym celu adresy URL JavaScript, formularze API i metody socjotechniczne.
Warszawa, 16 listopada 2023 – Gry wideo online często wykorzystują wirtualną walutę, dając graczom możliwość zakupu i sprzedaży przedmiotów. Podczas gdy te funkcje, w oparciu o mikropłatności, są podstawą modelu biznesowego, nieuchronnie przyciągają również cyberprzestępstwa i oszustwa. Czasami może to być łatwiejsze ze względu na bazę użytkowników, tak jak w przypadku “Roblox”, gdzie prawie połowa z 65 milionów użytkowników gry to osoby poniżej 13 roku życia. Eksperci Cisco Talos wskazują na najpopularniejsze metody ataków wymierzonych w najmłodszych, którzy mogą nie być tak biegli w wykrywaniu oszustw.
Najpopularniejsze oszustwa w grach online
Wiedza na temat typowych oszustw i sposobu ich działania jest kluczem do ich wykrycia. Poniższe przykłady oszustw zostały zaobserwowane wśród użytkowników “Roblox”, ale metody socjotechniczne stosowane przez przestępców można odnieść do wszystkich gier posiadających mikropłatności.
Oferowanie darmowej waluty premium /phishing
Oszust wysyła do ofiary wiadomość oferując sposób na zarobienie darmowej waluty w grze (w tym przypadku tzw. Robux). W najczęstszym wariancie tego oszustwa użytkownik otrzymuje link do strony internetowej zawierającej motywy lub obrazy związane z wybranym tytułem. Strona oferuje ofierze darmowe Robuxy i prosi ją o wprowadzenie nazwy użytkownika i hasła, aby mogła otrzymać nagrody na swoje konto. Po przekazaniu danych, gracz zamiast otrzymać obiecane rzeczy traci walutę premium i/lub przedmioty – oszust loguje się na konto ofiary i kradnie wszystkie wartościowe rzeczy.
Wyłudzanie informacji
W Roblox każdy użytkownik może tworzyć nowe światy i przedmioty. Oszuści wykorzystują to tworząc złośliwe mapy, za wizytę na których obiecują dostarczyć darmowe Robuxy i proszą ofiary o wypełnienie formularza z nazwą użytkownika i hasłem. Dane uwierzytelniające ofiary są wysyłane do serwera kontrolowanego przez przestępców, umożliwiając zalogowanie się na konto użytkownika.
Metody przeglądarkowe – JavaScript i zakładki
Oszust prosi ofiary o skopiowanie i wklejenie linku zawierającego kod JavaScript do paska adresu przeglądarki. W jednym z najpopularniejszych wariantów oszust udaje, że opracowuje nowe elementy do gry i prosi użytkownika o użycie/testowanie jego awatara. Aby automatycznie otrzymać szczegóły postaci, oszust prosi ofiarę o skopiowanie i wklejenie linku zawierającego kod JavaScript do paska adresu przeglądarki. Innym wariantem jest „metoda zakładek” – zamiast wklejania linku do paska adresu, ofiara jest proszona o przeciągnięcie i upuszczenie zakładki do paska zakładek, a następnie kliknięcie na nią.
Jak wyjaśniają eksperci Cisco Talos, w obu przypadkach przestępca kradnie identyfikator sesji, umożliwiając mu zalogowanie się na konto ofiary.
Metoda API
Oszust proponuje ofierze transakcję, która zazwyczaj jest zbyt dobra, aby mogła być prawdziwa. Następnie atakujący mówi, że przed kontynuowaniem handlu chciałby sprawdzić, czy przedmioty ofiary nie zostały skradzione. Aby to zrobić, ofiara musi odwiedzić specjalną stronę w Roblox i wprowadzić identyfikator. Następnie podają ofierze adres URL strony, która w rzeczywistości jest częścią dokumentacji API Roblox i jest używana przez programistów do testowania API. Podczas rozmowy z ofiarą oszust tworzy prośbę o wymianę, która, jeśli zostanie zaakceptowana, przeniesie wszystkie przedmioty ofiary do oszusta. Następnie oszust wysyła ten identyfikator do ofiary i instruuje ją, aby wstawiła identyfikator do formularza i kliknęła “Wypróbuj”. Spowoduje to, że użytkownik zaakceptuje transakcję z określonym ID i przeniesie wszystkie swoje przedmioty i Robuxy do oszusta.
Metoda pliku HAR
Oszust oferuje stworzenie darmowego GFX (trójwymiarowa wersja awatara ofiary) pod pretekstem, że uczy się sztuki modelowania postaci i przydałaby mu się praktyka. Jeśli ofiara zgodzi się, oszust mówi, że potrzebuje pliku do ukończenia projektu i daje ofierze samouczek lub film wyjaśniający, gdzie znaleźć ten plik. Samouczek wymaga, aby ofiara otworzyła narzędzia programistyczne przeglądarki i zapisała żądanie sieciowe jako plik HAR. Po jego zapisaniu ofiara jest instruowana, by wysłać go oszustowi. Plik ten zawiera identyfikator sesji ofiary, który umożliwia oszustowi korzystanie z platformy zalogowanej na koncie ofiary i kradzież wszystkich przedmiotów i Robuxów.
Podwójna transakcja
Oszust zwraca się do ofiary, proponując dwie transakcje. Jedna transakcja jest korzystna dla oszusta, a druga niezwykle kusząca dla ofiary. Oszust stawia warunek, że ofiara albo zaakceptuje obie transakcje, albo je odrzuci. Jednak podczas rozmowy oszust usuwa część Robuxów z konta ofiary, przez co transakcja korzystna dla ofiary kończy się niepowodzeniem z powodu braku Robuxów na koncie atakującego. Gdy ofiara zaakceptuje obie transakcje, tylko zła transakcja zostanie zrealizowana.
Instalacja złośliwego oprogramowania
Ta metoda jest tak prosta, jak poproszenie ofiary o zainstalowanie jakiegoś oprogramowania lub rozszerzenia przeglądarki w celu otrzymania darmowych Robuxów lub pomocy oszustowi w wykonaniu jakiegoś projektu, który jest interesujący dla ofiary. Zainstalowane oprogramowanie jest tym złośliwym, zaprojektowanym w celu kradzieży identyfikatora sesji ofiary, co pozwala oszustowi na korzystanie z platformy zalogowanej na koncie ofiary i kradzież wszystkich przedmiotów i Robuxów.
Jak uniknąć oszustów?
Eksperci Cisco Talos, podkreślają, że najskuteczniejszą obroną w takich sytuacjach jest zdrowy rozsądek – jeśli graczowi wydaje się coś zbyt piękne, aby mogło być prawdziwe, to najpewniej właśnie ma do czynienia z próbą kradzieży. Jeśli nieznajomy lub strona internetowa oferuje darmową walutę lub darmowe przedmioty, prawie na pewno jest to oszustwo.
Mniej świadomych użytkowników należy uczulić, aby:
- Nie otwierali linków ani nie pobierali plików z nieznanych źródeł: Może być to przynęta phishingowa lub złośliwe oprogramowanie.
- Byli podejrzliwi wobec próśb o wykonanie nietypowych działań: niektóre oszustwa polegają na wykonywaniu przez użytkownika mniej lub bardziej technicznych czynności. Są one dobrym wskaźnikiem, że może to być oszustwo.
- Korzystali z wbudowanych funkcji bezpieczeństwa platformy: Roblox poważnie traktuje bezpieczeństwo i zapewnia przewodniki bezpieczeństwa oraz kilka funkcji zwiększających bezpieczeństwo. W tym MFA, konfigurowalne opcje prywatności, filtry transakcji czy zablokowanie zaproszeń do handlu od nieznajomych.
Materiały dodatkowe: wpis na blogu Cisco Talos