Le statistiche mostrano che oggi molti utenti sottovalutano le minacce provenienti dai programmi malevoli e dai malintenzionati informatici.
- Soltanto il 15% degli utenti è consapevole che potrebbe rappresentare un obiettivo per i criminali informatici.
- Uno su tre considera improbabili le perdite finanziarie causate dagli attacchi dei malintenzionati.
- La stragrande maggioranza pensa che i suoi dati non interessino nessuno!
Gli appassionati dei giochi di computer sono un segmento dell'utenza speciale, contro cui sono mirati gli attacchi degli autori dei virus – questi utenti di solito trascurano la protezione antivirus per mantenere le più alte prestazioni del PC. I giocatori sono diversi sia per il livello di competenze che per la disponibilità delle "ricchezze" virtuali che è possibile rubare e vendere.
Chi nel mondo dei giochi virtuali corre il rischio degli attacchi dei malintenzionati informatici?
In linea di massima, i giocatori possono essere divisi in tre gruppi:
- Super-fan e professionisti. Hanno nel loro "cassone" un numero sufficiente di artefatti.
- Semplici giocatori (per loro l'ambiente dei giochi è un modo per il rilassamento o divertimento o per la distrazione dal lavoro o dai problemi). I loro computer ed account potrebbero essere utilizzati dai malintenzionati per eseguire attacchi progrediti e per estorcere denaro.
- Ragazzini, che potrebbero essere sia super-fan che semplici giocatori, e persino bimbi. In questo caso, i genitori, ovvero i loro portafogli, sono vittime degli attacchi informatici. I truffatori offrono proprio ai piccoli giocatori di avere "gratis" gli artefatti altrui rubati.
Attenzione!
Per il loro massimalismo adolescente, i ragazzini, da una parte, cercano di ignorare le raccomandazioni di sicurezza informatica e, dall'altra parte, vogliono provare la cosa proibita. Pertanto, in tale caso il Parental control Dr.Web è "un must" che può prevenire l'infezione del computer e il furto del patrimonio di gioco e delle informazioni!
Nel frattempo, le esperienze accumulate dagli analisti dei virus di Doctor Web dicono che le minacce di virus a tali giocatori non sono affatto "un gioco"!
I virus discendono dai… giochi!
Incredibile ma vero: uno dei primi programmi malevoli — e non un virus, ma un trojan! — fu il gioco per computer Pervading Animal: attraverso domande sì o no il programma cercava di determinare il nome dell'animale pensato dall'utente. Fu scritto con un errore – quando venivano aggiunte nuove domande, il gioco modificato si scriveva sopra la versione vecchia e si copiava in altre directory (cioè si proliferava), di conseguenza tra qualche tempo il disco diventava stracolmo. Pervading Animal si diffondeva mediante le sue vittime ed eseguiva le azioni che rimanevano sconosciute per l'utente – cioè fu un classico trojan.
Cosa viene rubato ai giocatori?
I malintenzionati dirigono la loro attenzione su quello che potrebbe essere loro utile. Hanno come lo scopo gli account e gli artefatti dei giocatori — tutto quello che interessa i giocatori e che può essere rubato e poi venduto.
Che cosa interessa i giocatori?
- La possibilità di "potenziare" velocemente un account o di comprarne uno già "potenziato".
- I personaggi con la quantità massima di varie "competenze" e con il massimo punteggio di esperienza, con l'equipaggiamento di gioco, l'armatura, gli animali da montare (talvolta rari), un set di competenze e professioni disponibili per un personaggio, altri artefatti di gioco e capacità. Più ce ne sono, più costa l'account, di cui il prezzo potrebbe arrivare ai 500 euro.
- Acquisto e vendita, talvolta per soldi reali, di oggetti di gioco, scambio.
Obiettivi dei malintenzionati sono gli account e artefatti dei giocatori — tutto quello dal mondo dei giochi che possa essere rubato e venduto per soldi.
Tenendo presente il prezzo degli account potenziati e degli artefatti costosi, si può dire senza esagerare che i giocatori e il loro patrimonio virtuale sono un obiettivo desiderato per i malintenzionati.
In che modo i programmi malevoli aiutano i malintenzionati a rubare account ed artefatti?
Un esempio di un programma malevolo progettato per il furto di artefatti
Il Trojan.SteamLogger.1 è studiato per rubare artefatti di valore agli utenti dei giochi Dota 2, Counter-Strike: Global Offensive e Team Fortress 2. Fu scoperto dagli specialisti Doctor Web ad ottobre 2014.
Dopo che il modulo principale del Trojan.SteamLogger.1 è stato avviato ed inizializzato, esso cerca nella memoria del computer infetto il processo Steam e controlla se l'utente ha accesso al suo account. Se no, il programma malevolo aspetta il momento quando il giocatore si autentica, poi estrae le informazioni dell'account (disponibilità di SteamGuard, steam-id, security token) e le manda ai malintenzionati. Come risposta, il Trojan.SteamLogger.1 riceve una lista degli account su cui esso può trasmettere gli oggetti di gioco dall'account della vittima. Il programma malevolo cerca di rubare gli oggetti di gioco più preziosi, per esempio chiavi di cassoni e cassoni stessi. Il Trojan.SteamLogger.1 controlla se l'utente prova a vendere qualche articolo virtuale e se scopre tale tentativo, cerca di ostacolarlo eliminando in automatico le offerte di vendita di articoli.
Il trojan manda tutte le informazioni raccolte sul server dei malintenzionati, quindi controlla se nelle impostazioni di Steam è attivata l'autenticazione automatica, e se è disattivata, avvia il keylogger in un thread separato — le informazioni raccolte con l'ausilio del keylogger vengono trasmesse sul server dei criminali informatici con un intervallo di 15 secondi.
Trojan.SteamLogger.1 viene distribuito sui forum specializzati o nella chat di Steam, camuffato da un'offerta di vendita o di scambio di oggetti di gioco.
Come i malintenzionati traggono profitto dagli account rubati?
- Vendita dell'account: nel caso più semplice i malintenzionati cercano di vendere l'account rubato utilizzando un negozio Internet appositamente creato per tali scopi.
- Appropriamento degli artefatti e la successiva vendita: i truffatori possono trasferire tutti gli artefatti associati a un account su un altro account (certamente per poi venderli).
- Prestiti fraudolenti: i nuovi proprietari dell'account rubato, sfruttando la fiducia dei loro compagni nell'albo di giocatori, potrebbero prendere in prestito tanti soldi virtuali o derubare la banca dell'albo. Come risultato — l'utente dell'account avrà una reputazione danneggiata per sempre, gli verrà negato l'accesso al server di gioco e persino potrebbe avere un trauma psicologico (in caso dei bambini, di cui la struttura psichica è più vulnerabile, tale circostanze potrebbero portare a gravi conseguenze).
- Distribuzione di link di phishing: i malintenzionati distribuiscono link fraudolenti a nome del titolare dell'account — per esempio pubblicano le informazioni circa le "promozioni dello sviluppatore del gioco" per partecipare alle quali si dovrebbe registrarsi su un sito di terzi utilizzando le credenziali dell'account di gioco, oppure pubblicizzano software per il potenziamento delle capacità di un personaggio di gioco e in tali software è nascosto un virus o un trojan. Anche questa pubblicità fraudolenta causa una perdita della reputazione!
- Estorsione: il patrimonio virtuale di un giocatore rappresenta per lui un valore e questo'atteggiamento viene sfruttato dai malintenzionati che bloccano l'accesso all'account e chiedono di essere pagati un riscatto.
Come i malintenzionati infettano i computer dei giocatori?
Uno dei metodi utilizzati dai pirati informatici per attaccare giocatori consiste nella distribuzione dei trojan per lo scopo di infezione.
Tramite il sistema di messaggi personali, i malintenzionati potrebbero mandare dall'account di un giocatore messaggi che includono link conducenti su siti di phishing (siti fraudolenti). Per esempio, un messaggio potrebbe includere le informazioni circa le "promozioni dello sviluppatore del gioco" per partecipare alle quali sarebbe necessario registrarsi su un sito di terzi tramite le credenziali del proprio account di gioco, oppure una pubblicità dei programmi per il potenziamento di un personaggio di gioco i quali in realtà nascondono dentro di sé un virus o un trojan. I bambini e gli adolescenti, fiduciosi e ancora senza l'esperienza che permettesse loro di riconoscere truffatori, potrebbero cadere facilmente in tale trappola.
Se uno dei loro obiettivi sono i portafogli di Steam per l'acquisto di giochi, i malintenzionati utilizzano anche il phishing per accedere a un portafoglio. Per esempio, agli utenti del servizio Twitch vengono mandate delle offerte di partecipazione a una lotteria. Alle vittime viene offerto di vincere armi digitali e figurine per lo sparatutto CounterStrike: Global Offensive. Non appena il programma malevolo ha accesso a un account Steam, il trojan, che si era installato sul computer del giocatore alla sua insaputa, cattura schermate, aggiunge nuovi amici, acquista oggetti per fondi di Steam, fa e accetta autonomamente (!!) offerte di vendita. Dopo il furto degli attrezzi, l'account viene messo in vendita su Steam Community Market con un notevole sconto – fino al 35%.
I malintenzionati sfruttano il fatto che gli utenti dei servizi quali Twitch,si sono abituati a simili messaggi. Inoltre, Twitch è diventato una delle più popolari piattaforme di streaming per i giocatori, consentendo agli appassionati di trasmissioni in linea di guadagnare nel tempo degli "stream". Molti streamer hanno potuto acquisire "seguaci" in un modo legittimo, alcuni altri, che vogliono bottino facile, hanno deciso di utilizzare le possibilità delle botnet (reti di computer infetti) per aumentare il numero di abbonati. C'è anche questo tipo di loschi affari nel mondo dei giochi.
Un esempio di un programma malevolo progettato per l'attacco alla piattaforma Steam
Alla fine di agosto 2014, su vari forum di gioco gli utenti della piattaforma Steam cominciarono a scrivere che sui loro account improvvisamente andavano persi oggetti e risorse di valore. Il colpevole dei "furti virtuali" fu il Trojan.SteamBurglar.1. Il programma veniva distribuito dai malintenzionati tramite l'invio di messaggi nella chat di Steam e sui forum specializzati. I messaggi offrono ai giocatori di guardare gli screenshot delle armi virtuali o di altre risorse che sarebbero disponibili per lo scambio o per la vendita. Il Trojan.SteamBurglar.1 mostra queste immagini all'utente del computer sotto attacco e allo stesso tempo cerca nella memoria il processo steam.exe, ne estrae le informazioni sugli oggetti di gioco di cui seleziona i più preziosi, dopodiché li ruba per la successiva rivendita. Gli articoli rubati vengono trasferiti su un account in possesso dei malintenzionati.
Attenzione!
La possibilità di quello che gli utenti stessi possono creare un server di gioco consente ai malfattori di creare falsi server e di distribuire malware attraverso di essi!
Qualche tempo fa, gli analisti dei virus Doctor Web sono venuti a sapere che i malintenzionati creavano copie malevole delle pagine di giochi nel catalogo di Steam. Le pagine-cloni ricalcano per l'intero l'aspetto delle pagine di gioco originali. Se l'utente ha selezionato un gioco falsificato, viene reindirizzato su una pagina insicura da cui viene scaricato di nascosto un programma malevolo.
Il successivo sviluppo dello scenario dell'attacco dipende dalle funzionalità disponibili nel codice del trojan. Il programma malevolo potrebbe rilevarsi anche un pericoloso e attuale trojan-encoder.
Pericolo: gli encoder!
Oltre ai malintenzionati che creano appositi programmi malevoli mirati contro specifici giochi, ci sono anche altri rappresentanti del "lato oscuro" del mondo virtuale, non meno desiderosi di ricavare profitti. Attualmente un vero problema della sicurezza sono i trojan-encoder – ovvero programmi che cifrano i dati sul dispositivo e richiedono un riscatto per la decifratura. Un simile trojan potrebbe penetrare nel sistema attraverso le email di spam o da un link incluso in un messaggio istantaneo o potrebbe essere scaricato da un sito o portato sul computer di gioco su una chiavetta usb. L'infezione stessa avviene impercettibilmente, in modalità silenziosa, e non viene scoperta fino a quando i file sul computer non saranno stati cifrati e sullo schermo non sarà comparso un messaggio di riscatto.
Le informazioni dettagliate circa gli encoder sono disponibili qui.
Secondo gli analisti dei virus Doctor Web, le funzionalità degli encoder consentono di cifrare i file con le estensioni dei seguenti giochi popolari: Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends, World of Tanks.
Vi ricordiamo che la società Doctor Web esegue la decifratura gratis solo per i proprietari delle licenze commerciali Dr.Web. Se avete questo problema, contattate per l'assistenza il nostro servizio di supporto tecnico.
Giochi popolari "al servizio" dei pirati informatici
I malintenzionati già utilizzano le possibilità dei giochi stessi per distribuire programmi malevoli.
Di solito quando un computer di gioco si connette con il server di Counter-Strike, il programma-client scarica dal nodo remoto i componenti assenti sulla macchina client, ma utilizzati nel gioco.
Un'indagine condotta nel 2011 dagli analisti della società Doctor Web fornì le seguenti informazioni. Inizialmente un gruppo di malintenzionati ebbe creato un server di gioco di Counter-Strike che distribuiva il programma trojan Win32.HLLW.HLProxy (fino a quel momento il trojan veniva distribuito tra gli appassionati di Counter-Strike come un'applicazione "utile", per cui molti giocatori lo ebbero scaricato e installato volontariamente sui loro PC).
La tecnologia della distribuzione del trojan è molto interessante: ad ogni connessione con il server di gioco, all'utente viene mostrata una finestra del benvenuto MOTD che può includere la pubblicità del server o alcune regole stabilite dall'amministratore. I contenuti di questa finestra sono un file HTML. Il file MOTD creato dai pirati informatici contiene il componente nascosto IFRAME, attraverso cui l'utente viene reindirizzato su un server appartenente ai malintenzionati. Dal server, a sua volta, viene scaricato il Win32.HLLW.HLProxy e viene installato sul computer della vittima.
L'obiettivo principale del trojan è quello di avviare sul computer del giocatore un server proxy che emula su una macchina fisica più server di gioco di Counter-Strike e trasmette le relative informazioni sui server VALVE. Quando un programma-client si connette con un server di gioco emulato dal trojan, il client viene reindirizzato sul vero server dei malintenzionati da cui il giocatore subito riceve il trojan Win32.HLLW.HLProxy.
In questo modo, il numero di macchine infette cresceva in progressione geometrica.
Inoltre, il trojan ha le funzionalità che permettono di organizzare attacchi DDoS ai server di gioco e ai server VALVE, grazie a cui una loro parte notevole potrebbe essere non disponibile in tempi diversi. Si può supporre che uno degli obiettivi dei malintenzionati sia quello di far i proprietari dei server di gioco pagare per la connessione ai server di nuovi giocatori e inoltre quello di effettuare attacchi DDoS ai server ostili.
Distribuzione dei virus con il pretesto dei giochi per dispositivi Android
I malintenzionati sfruttano un altro atteggiamento degli utenti – ovvero la loro fiducia verso i giochi. Per esempio l'Android.Elite.1.origin, appartenente alla classe dei "programmi-vandali", viene distribuito sotto le spoglie di applicazioni popolari, compresi i giochi.
All'avvio l'Android.Elite.1.origin cerca di ottenere con inganno l'accesso alle funzioni di amministratore sul dispositivo dicendo che sarebbero necessarie per completare l'installazione. Ottenuti i permessi di root, il trojan inizia subito a formattare la scheda SD connessa, cancellando su di essa tutte le informazioni. In seguito il programma malevolo attende l'avvio di alcune applicazioni popolari di comunicazione (di messaggistica istantanea).
Oltre alla formattazione della scheda SD e del blocco parziale degli strumenti di comunicazione, l'Android.Elite.1.origin con una periodicità dei 5 secondi manda SMS a tutti i contatti trovati nella rubrica,quindi il credito dei proprietari dei dispositivi mobili compromessi potrebbe esaurire in pochi minuti e persino secondi!
Virus come le armi della concorrenza sul mercato dei giochi
È alta la concorrenza tra i proprietari dei server di giochi, particolarmente se si tratta delle risorse in vetta alla classifica Gametracker. A febbraio 2012 comparvero alcune applicazioni malevole studiate per mettere fuori servizio i server di giochi con il motore GoldSource (compresi quelli di Counter-Strike, Half-Life). Una di esse, aggiunta al database dei virus Dr.Web sotto il nome del Flooder.HLDS, è un programma che emula la connessione di un grande numero di giocatori a un server di gioco, il che potrebbe provocare il blocco e il malfunzionamento del server.
Un altro programma malevolo, il Flooder.HLDS.2, è in grado di mandare su un server un determinato pacchetto di dati che provoca il crash del software server.
Entrambe le applicazioni si diffusero su vari forum degli argomenti concernenti i giochi, e il numero di attacchi ai server di giochi, eseguiti attraverso questi programmi, fu abbastanza alto.
Un fatto curioso: l'utilizzo di tali programmi nocivi potrebbe causare danni ai malfattori stessi, che provano a mettere fuori servizio un server di gioco — gli specialisti Doctor Web hanno scaricato dai forum di giochi alcuni campioni del Flooder.HLDS.2 che all'avvio infettano il computer con i trojan BackDoor.DarkNess.47 e Trojan.Wmchange.14. Il primo svolge le funzioni del backdoor e del bot DDoS, mentre il secondo sostituisce furtivamente nella memoria del PC compromesso i numeri dei portafogli utilizzati per le transazioni con la moneta elettronica WebMoney con lo scopo di rubare i soldi dal conto dell'utente. Pertanto, i malfattori rimangono loro stessi vittime degli autori dei virus ed espongono i loro computer a un rischio dell'infezione.
Come proteggersi se si gioca ai giochi di computer?
Doctor Web raccomanda:
Prima di comprare un account su un server di gioco, leggete con attenzione il Contratto di licenza e ne osservate le disposizioni.
- Nella maggior parte dei server di gioco le regole di utilizzo, che devono essere accettate dall'utente, comprendono una dichiarazione di esclusione di responsabilità da parte dell'amministrazione del server in caso di furto dell'account e una clausola di possibilità di bloccare qualsiasi account senza spiegare le ragioni, il che diventa una sorpresa per molti giocatori.
- Quando comprate un account, osservate le condizioni della licenza che vietano l'acquisto dell'account.
Doctor Web raccomanda:
Quando acquistate un nuovo account, chiedete al venditore di fornirvi non soltanto la password di accesso all'account e la risposta alla domanda segreta necessaria per il ripristino della password, ma anche il completo accesso alla casella di posta a cui l'account è associato.
Nella maggior parte dei server di giochi (compresi i giochi Blizzard) l'account dell'utente è associato al suo indirizzo email, talvolta al suo numero di telefono. In caso di furto dell'account, gli amministratori del server si metteranno in contatto con quelli che loro considerano i proprietari dell'account, attraverso questo indirizzo email.
Doctor Web raccomanda:
Conservate le copie scannerizzate del vostro documento d'identità su un supporto separato e non sul vostro computer di gioco — per evitare che vengano rubate da un trojan. Questa raccomandazione è importante per tutti gli utenti e non soltanto per i giocatori.
Se il vostro account viene rubato, gli amministratori del server di gioco potrebbero chiedervi di fornire i dati del vostro documento d'identità, le immagini delle pagine scannerizzate o una vostra foto con il documento in mano.
Il supporto tecnico del server di gioco, per assicurarsi dell'identità del proprietario dell'account, potrebbe chiedervi di mandare loro non soltanto una vostra foto con il documento d'identità in mano, ma anche con una conferma del momento in cui è stata scattata la foto, per esempio, nella foto deve essere visibile un giornale fresco. In fin dei conti, l'amministratore darà l'account a quello che può fornire tale foto.
Se voi non potete farla, l'account rubato dai malintenzionati e messo in vendita potrebbe essere bloccato. I malintenzionati avranno i soldi, e voi, le loro vittime, avrete i problemi.
Per non rimanere vittime di un trojan, Doctor Web raccomanda:
- Non fate clic su un collegamento ipertestuale se non siete sicuri al 100 % che conduca sulla pagina richiesta.
- Scaricate giochi soltanto da fonti affidabili conosciuti e quando comprate artefatti di gioco, utilizzate solo i "mercati" provati.
- Non pubblicate le vostre informazioni personali in Internet.
- Non rispondete alle "domande segrete", utilizzate in vari servizi per l'autenticazione, se vi vengono fatte da persone estranee.
- Badate a quello che sul vostro computer siano installati tutti gli aggiornamenti attuali del sistema operativo e delle applicazioni, e non soltanto quelli dell'antivirus.
- Utilizzate per forza una versione attuale di un programma antivirus! Aggiornatela prima di ogni entrata su un server di gioco.