Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
Новости

Как киберпреступники охотятся в WoW

Как злоумышленники охотятся в World of Warcraft на учетные записи Battle.net вместе со всем их содержимым.

Учетная запись Battle.net представляет для злоумышленников определенную ценность. Это доступ и к персонажам, и к игровой валюте, и к купленным играм. Конечно, если учетная запись у игрока нормально настроена, то обращение в техническую поддержку после взлома, скорее всего, поможет восстановить контроль над аккаунтом и вернуть украденные виртуальные богатства.

Но сорвать планы и доставить кучу неудобств у злоумышленников получится в любом случае. Так что лучше до взлома не доводить. А чтобы вам было проще избежать этой неприятной ситуации, расскажу вам о том, как я исследовал схему угона аккаунта Battle.net с помощью внутриигрового фишинга в WoW Classic.

Схема угона аккаунта имени Биззарда

В основной версии игры с фишингом я раньше сталкивался достаточно часто. Но в World of Warcraft Classic, не так давно появившемся, я с ним практически не встречался. До тех пор, пока какой-то воин по имени Биззард не сообщил мне, что «[Blizzard Entertainment] ГМ: Нарушение: Эксплуатация экономики. Посетите: [www.blizzardwarcraft.com] в противном случае мы приостановим вашу учетную запись».

Внутриировое фишинговое сообщение в World of Warcraft Classic

Внутриировое фишинговое сообщение в World of Warcraft Classic

Сказать, что это прозвучало неубедительно, было бы явным преуменьшением. Как-то не очень верится, что настоящий гейм-мастер Blizzard Entertainment, увидев такое нарушение, как «эксплуатация экономики», заведет левого персонажа, назовет его словом, похожим на название компании, и от его лица будет извещать игроков о том, что им необходимо проследовать на какой-то там сайт. Тем более, что я совершенно точно ничего не нарушал.

Обычно я такие сообщения просто игнорирую, но тут мне стало любопытно, и я решил посмотреть, чем же все это закончится. Сперва я проверил полученную ссылку через whois-сервисы. Потому что домен, на который он меня отправляет, совершенно точно не похож ни на один из гарантированно принадлежащих Blizzard (blizzard.com, battle.net или worldofwarcraft.com). Еще один повод усомниться в легитимности сайта — отсутствие сертификата безопасности.

Как я и подозревал, домен blizzardwarcraft.com, на который меня заманил могучий Биззард, был зарегистрирован меньше недели назад. Причем злоумышленники даже не очень-то старались — домен зарегистрировал кто-то из китайской провинции Аньхой через гонконгского регистратора Hongkong Domain Name Information Management Co., Limited.

Сравнение поддельной страницы и настоящего сайта Blizzard

Сравнение поддельной страницы и настоящего сайта Blizzard

А вот фишинговый сайт сделан достаточно убедительно — с виду он довольно похож на легитимную страницу логина eu.battle.net. Впечатление немного портит надпись Security Check, выполненная посторонним шрифтом постороннего цвета. И механизмы логина через Facebook и Google предсказуемо не работают.

Однако почти все остальные ссылки на подозрительной странице ведут на реальные сайты Blizzard. Правда, на разные: одни на европейские, другие на американские. Но мало ли, всякое бывает.

Раз уж я начал разбираться с этой фишинговой схемой, то решил пойти до конца и посмотреть, как именно в данном случае будут угонять аккаунт. Прямо на фейковой страничке кликнул на ссылку Create a free Blizzard Account (что удобно, ссылка подлинная) и завел свежую учетку. Подготовившись таким образом к дальнейшим приключениям, я пошел сдавать новообретенные пароли и явки злоумышленникам.

После того как я ввел учетные данные на поддельной странице, авторы сайта попросили меня помочь им обезопасить мой аккаунт при помощи быстрой проверки. Для этого, конечно же, надо вести проверочный код, высланный на почту. Код пришел с настоящего адреса Blizzard.

Что логично: как только я ввел свои учетные данные на поддельной странице, злоумышленники сразу же ввели их на настоящем сайте. Но также для входа им нужен был и проверочный код, который Blizzard выслал на мою почту, — следовательно, теперь им надо было этот код от меня получить. Само собой, пришлось подыграть и ввести код на фальшивой странице.

Также на фишинговой страничке зачем-то попросили ответить на секретный вопрос. Я, правда, при регистрации никакого секретного вопроса не задавал. Но мне не жалко — я готов ответить.

«Security check» на поддельной странице

После этого мне сообщили, что я успешно прошел проверку. Как и следовало ожидать, одновременно с этим в мой новый аккаунт залогинился кто-то из немецкого города Бранденбурга (вряд ли действительно оттуда — наверняка взломщики воспользовались прокси-сервером, VPN или еще каким-нибудь способом виртуальной смены географии).

Причем сначала этот некто залогинился через приложение Battle.net, а потом еще и через веб-интерфейс. Предполагаю, что это случилось потому, что взломщики не нашли в моем аккаунте ни одного персонажа в World of Warcraft и решили перепроверить аккаунт через веб-версию.

История входов в аккаунт на настоящем сайте Blizzard

История входов в аккаунт на настоящем сайте Blizzard

Где-то через два с половиной часа из Blizzard прислали уведомление о том, что в связи с подозрительной активностью мой пароль был сброшен. Очевидно, внутренние защитные механизмы Battle.net определили, что к моей учетной записи получили доступ посторонние, и поспешили защитить меня от злоумышленников. Как видите, в Blizzard неплохо заботятся о безопасности своих пользователей.

Как не стать жертвой фишинга в World of Warcraft

Это наверняка не последняя попытка фишинга в World Of Warcraft Classic. Для того чтобы минимизировать ущерб от действий злоумышленников, а также сделать игру более комфортной не только для себя, но и для окружающих, нужно помнить несколько вещей:

  • В World of Warcraft гейм-мастера всегда имеют специальную иконку рядом с именем (выглядит как синие буквы BLIZZ). Если такой иконки нет, то с вами говорит не гейм-мастер.
  • Эксплуатация экономики, равно как и прочие игровые нарушения, ведет к неизбежной блокировке аккаунта — это точно не повод для «проверки безопасности» вашей учетной записи.
  • Официальные представители игры вряд ли будут присылать вам ссылку на сторонний ресурс. Все инструменты для борьбы с нарушениями доступны им и без этого — для подтверждения владения аккаунтом им достаточно сбросить ваш пароль и выкинуть из игры.
  • Если игрок обращается к вам с подобным заявлением, то вам нужно сообщить о его неподобающем поведении через специальную форму на сайте battle.net.
  • Полезно следовать советам компании Blizzard по обеспечению безопасности учетной записи. Там все четко и правильно расписано: надежный пароль, дополнительный фактор аутентификации, защитное ПО, обновления приложений, парольная гигиена.

Что касается защитного ПО, то нам тут есть что предложить — и для защиты от шпионских зловредов, и для выявления попыток фишинга, и для безопасного хранения паролей. И все это без серьезного ущерба для игровой производительности — спасибо специальному игровому режиму.


Источник: Лаборатория Касперского

17.08.2020