Мошенничество в онлайн-играх

В любых играх — будь то игры карточные, настольные или компьютерные — желание сплутовать существует столько же, сколько и сама игра. Дух соперничества побуждает людей нарушать правила, чтобы завладеть преимуществом и, в итоге, выиграть.В игровых вселенных подобных World of Warcarft игровые персонажи часто воспринимаются как альтер эго игрока. Подобно тому, как в реальной жизни люди зачастую питают слабость к дорогим часам, очкам, одежде и прочим дорогим аксессуарам, игроки придирчиво создают и вооружают своего персонажа.

Дорогие вещи, которыми персонажи владеют и которые носят, часто могут оцениваться другими игроками. Таким образом, они не только важны в битве, но и говорят о статусе персонажа. В свете всего вышесказанного неудивительно, что из онлайн-игр выросла целая отрасль экономики — торговля виртуальной валютой, оружием и другими игровыми предметами за вполне реальные деньги.

Поскольку рынок развивался быстро и позволял неплохо заработать, вирусописатели не заставили себя долго ждать. Хотя довольно часто оружие, игровую валюту и учетные записи продавали игроки, их «заработавшие» в игре, еще чаще ими стали торговать пользователи, получившие их в результате фишинг-атак.

Фишинг

Рассылка фишинг-сообщений по электронной почте — давно известная методика. Когда-то фишинг-сообщения было легко распознать из-за обилия в них орфографических и грамматических ошибок. Однако к настоящему времени киберпреступники решили эту проблему — сейчас даже бдительные пользователи могут не распознать вредоносного характера получаемых писем.

В данный момент киберпреступники сосредоточили свои фишинг-рассылки на двух онлайн-играх — World of Warcraft и Aion. Расширение к World of Warcraft, релиз которого запланирован в ближайшем будущем, уже используется как приманка для ловли пользователей «на живца». В письме, приведенном ниже на скриншоте и якобы написанном Blizzard, говорится, что начинается открытое бета-тестирование; пользователям, заинтересованным в участии, предлагается зарегистрироваться.

В заголовке письма видно, откуда оно на самом деле пришло. На первый взгляд, адрес [email protected] не вызывает подозрений. Однако в реальности письмо пришло с личного почтового адреса:

Как видно из скриншота, пользователю предлагается проследовать по ссылке и зарегистрироваться, используя личные данные учетной записи Battle.Net — олнайн-платформы игры Blizzard. На первый взгляд, ссылка ведет на подлинный сайт Battle.Net; однако на поверку оказывается, что письмо прислано в формате HTML и за видимым текстом прячется другой адрес. В данном случае используется простой код HTML; в других случаях для переадресации жертв на фишинг-сайты также часто используется javascript. Вывод простой: письма лучше просматривать в текстовом формате — так будет сразу видно подмену конечной точки перенаправления, либо переадресация просто не будет работать.

Если вы нажмете на ссылку, то окажетесь на фальшивой страничке авторизации, которая обманчиво похожа на настоящую страничку Blizzard. Введите свои регистрационные данные, и они благополучно попадут в руки киберпреступников.

Все прочие ссылки ведут на подлинные страницы на настоящем сайте Battle.net.

Это — лишь один пример фишинг-рассылки, разнообразие которых очень велико. Чаще всего используются рассылки по электронной почте, сообщающие о возможном разглашении регистрационных данных пользователя и советующие залогиниться, чтобы обезопасить учетную запись. Естественно, залогиниться предлагается на поддельном сайте.

В последние годы киберпреступники сосредоточили свои усилия на повышении качества своих фишинг-атак, в результате значительно улучшились как внешний вид, так и содержание сообщений.

Однако из вышеприведенной диаграммы следует, что рассылка фишинг-сообщений пользователям, играющим в онлайн-игры, составляет очень небольшую часть всего объема фишинг-сообщений. По состоянию на июль 2010 года только World of Warcraft выделен в отдельную категорию; долю других онлайн-игр указывать отдельно смысла нет.

Вредоносные программы

В 2002 году появился первый троянец, разработанный для кражи данных учетных записей (Trojan-PsW.Win32.Lmir) — с тех пор уже немало воды утекло. Тем не менее, основные принципы не меняются: как только пользователь регистрируется в онлайн-игре, активируется специально созданный троянец, который фиксирует вводимые данные.


Многие игровые троянцы сейчас специализируются на краже данных учетных записей к разным играм — поскольку все же онлайн-игры установлены на небольшой части компьютеров, то нацеленность вредоносной программы сразу на несколько игр в несколько раз повышает шансы на успех. Примером такого вредоносного ПО является Trojan-GameThief.Win32.OnLineGames — на 10 августа 2010 года «Лаборатория Касперского» накопила 1,2 миллиона записей, связанных с этой вредоносной программой. Однако вредоносы, нацеленные на одну игру, также не редкость. В качестве примера можно привести Trojan-GameThief.Win32.WOW (игра World of Warcraft); Trojan-GameThief.Win32.Perforld (Perfect World) и Trojan-GameThief.Win32.Nilage (Lineage).

На следующей диаграмме показано количество новых вредоносных программ с интервалом 6 месяцев.

На первое полугодие 2008 года приходится рекордный рост вредоносных программ, атакующих игровые платформы. В этот временной промежуток было распознано более 608 000 новых вредоносов, что, вероятно, было связано с выходом следующих программных продуктов:

Burning Crusade, дополнение к WoW, вышло в 2007 году — это релиз мог привести к отсроченному эффекту
Aion
Perfect World (релиз в Европе и Северной Америке в 2008 году)

Количество новых игровых вредоносов во второй половине 2008 года уменьшилось до 370 000, но в первом полугодии 2009 года вновь выросло — вероятно, из-за выхода в ноябре 2008 года еще одного дополнения к WoW под названием Wrath of the Lich King.

Анализ географического распределения попыток атаковать пользователей при помощи игровых вредоносов показывает, что такие программы особенно широко распространены в Азии. Данные были получены Kaspersky Security Network (KSN) — in-the-cloud сервисом «Лаборатории Касперского». Нижеприведенные данные отражают количество фактически распознанных атак и не являются исчерпывающими — общее количество таких атак может быть гораздо выше.