Jak cyberprzestępcy szukają ofiar wśród graczy WoW

W jaki sposób atakujący polują na konta w serwisie Battle.net — a dokładniej w grze World of Warcraft.


Konta w serwisie Battle.net są uważane przez cyberprzestępców za bardzo cenne. Mogą one zostać użyte do uzyskania dostępu do zakupionych gier, a także postaci czy dostępnych w grze pieniędzy i przedmiotów. Jeśli gracz poprawnie skonfigurował swoje konto, kontakt z pomocą techniczną z pewnością pomoże mu w odzyskaniu kontroli i przywróceniu skradzionych dóbr wirtualnych.

Mimo to atakujący mogą nam utrudnić działanie w swoim interesie, zatem lepiej jest podjąć teraz stosowane kroki, aby uniemożliwić włamanie. Poniżej opisuję swoje wnioski z sytuacji, w której ktoś próbował przejąć moje konto w serwisie Battle.net (a dokładniej w grze World of Warcraft Classic) za pomocą phishingu.

Schemat kradzieży konta oczami „Bizzarda”

Phishing jest dość powszechnym problemem w oryginalnej wersji gry WoW. Jednak od czasu udostępnienia najnowszej edycji World of Warcraft Classic nie grałem w nią. Pewnego dnia ktoś przedstawiający się jako mistrz gry, o pseudonimie „Bizzard”, napisał do mnie wiadomość, z której mogłem się dowiedzieć, że ze względu na złamanie przepisów muszę odwiedzić stronę www.blizzardwarcraft.com — w przeciwnym razie moje konto zostanie zawieszone.

Wiadomość phishingowa w grze World of Warcraft Classic

Stwierdzenie, że wiadomość ta wydała mi się podejrzana, to za mało. Trudno uwierzyć w oskarżenie o „wyzysk ekonomiczny”, szczególnie jeśli zostało ono wysłane przez osobę podpisującą się nazwą postaci, która przypomina nazwę firmy. Ponadto w rzeczywistości nie naruszyłem żadnych przepisów prawa.

Zwykle ignoruję takie wiadomości, jednak ta mnie zaciekawiła. Postanowiłem więc sprawdzić, jak działa ten schemat. Najpierw sprawdziłem link za pomocą serwisu „whois”, ponieważ domyśliłem się, że domena ta nie należy do firmy Blizzard (w przeciwieństwie do np. blizzard.com, battle.net czy worldofwarcraft.com). Co więcej, jeśli chodzi o legalność strony, brakowało na niej jakiegokolwiek certyfikatu bezpieczeństwa.

Tak, jak podejrzewałem, domena blizzardwarcraft.com — którą osoba podpisana jako Bizzard chciała, abym odwiedził — została zarejestrowana niecały tydzień wcześniej. Atakujący nie pokusili się nawet o zatarcie swoich śladów: domena została zarejestrowana przez kogoś z prowincji Anhui w Chinach, za pośrednictwem organu rejestracyjnego — Hongkong Domain Name Information Management Co., Ltd.

Porównanie fałszywej strony internetowej Blizzard z prawdziwą

Strona phishingowa wygląda przekonująco. Wyglądem przypomina stronę logowania oryginalnej strony eu.battle.net. Wrażenie psuje nieco znak „Security Check”, który ma niewłaściwą czcionkę i kolor. Jak można się domyślić, nie działają opcje logowania za pomocą serwisu Facebook i Google. Jednak prawie wszystkie pozostałe łącza na tej oszukańczej stronie prowadzą do stron w serwisie Blizzard. Część z nich prowadzi do stron należących do krajów Europy, inne są amerykańskie.

Postanowiłem kontynuować swoje śledztwo, aby zobaczyć, jak atakujący chciałby przejąć moje konto. Będąc na fałszywej stronie, kliknąłem łącze tworzenia darmowego konta w serwisie Blizzard (które działało i prowadziło do legalnej strony Blizzard) i zacząłem zakładać nowe konto. Z myślą o swoim eksperymencie, wręczyłem atakującym swoje nowo utworzone konto i hasło.

Gdy wysłałem swoje dane logowania przez fałszywą stronę, jej autorzy poprosili mnie o pomoc im w zabezpieczeniu mojego konta. W tym celu musiałem wprowadzić kod weryfikacyjny otrzymany w wiadomości e-mail, który przyszedł z oryginalnego adresu w serwisie Blizzard.

Gdy wprowadziłem swoje dane logowania na fałszywej stronie, atakujący natychmiast wprowadzili je na prawdziwej stronie. Musieli oni jednak podać kod weryfikacyjny. Blizzard wysłał go na moją pocztę, więc musieli go ode mnie zdobyć. Oczywiście pogrywałem z nimi dalej, więc wpisałem kod na fałszywej stronie.

Ponadto, z jakiegoś powodu poprosili mnie o odpowiedź na pytanie zabezpieczające. Prawda jest taka, że gdy zakładałem swoje nowe konto, nie skorzystałem z tej opcji ochrony. Ale oczywiście postanowiłem dać im odpowiedź.

„Kontrola bezpieczeństwa” na fałszywej stronie serwisu Blizzard

Zostałem poinformowany, że pomyślnie przeszedłem weryfikację. Jak można się spodziewać, w tym samym czasie ktoś obcy zalogował się do mojego nowego konta (adres IP wskazywał, że osoba ta przebywała w niemieckim mieście Brandenburg, ale mało prawdopodobne jest, że atakujący naprawdę łączył się z tego miejsca; prawdopodobnie używał serwera proxy, VPN-a lub jakiegoś innego sposobu maskującego jego lokazliację).

Najpierw ktoś zalogował się poprzez aplikację Battle.net, a następnie przez interfejs sieciowy. Moim zdaniem hakerzy nie znaleźli żadnych postaci World of Warcraft na moim koncie Battle.net, więc postanowili sprawdzić to jeszcze raz w wersji przeglądarkowej.

Aktywność ostatniego logowania pokazana na prawdziwej stronie Blizzard

Minęły jakieś dwie i pół godziny, gdy Blizzard wysłał mi powiadomienie, że z powodu podejrzanej aktywności moje hasło zostało zresetowane. Wewnętrzne mechanizmy ochronne w Battle.net uznały, że ktoś obcy uzyskał dostęp do mojego konta, więc serwis wkroczył do akcji, aby mnie ochronić. Jak widać, Blizzard całkiem nieźle dba o bezpieczeństwo użytkowników.

Jak nie paść ofiarą ataku phishingowego w grze World of Warcraft

Atak, którego doświadczyłem, raczej nie będzie ostatnią próbą phishingową w grze World of Warcraft Classic. Aby zminimalizować straty wywołane przez atak intruzów, a także zapewnić większe bezpieczeństwo nie tylko sobie, ale również innym, pamiętaj o kilku zasadach:

  • W grze World of Warcraft obok nazwy mistrza gry zawsze widnieje specjalna ikona. Jeśli jej nie ma, zachowaj czujność.
  • Wszelkie naruszenia zasad gry zawsze będą skutkować zablokowaniem konta. Nie są one uzasadnionym powodem do kontroli bezpieczeństwa konta.
  • Gra nigdy nie wysyła łączy do zasobów zewnętrznych, bo ma swoje narzędzia służące do zwalczania naruszeń. Aby potwierdzić czyjeś konto, wystarczy zresetować jego hasło, aby w ten sposób wylogować kogoś nieuprawnionego.
  • Jeśli jakiś gracz kontaktuje się z Tobą w takiej sprawie, zgłoś nieodpowiednie zachowanie za pomocą formularza dostępnego na stronie battle.net.
  • Warto zapoznać się z poradami firmy Blizzard w zakresie zabezpieczenia swojego konta. Są one dość jasno i wyraźnie opisane: jak skonfigurować bezpieczne hasło i włączyć autoryzację dwuczynnikową, dlaczego warto korzystać z oprogramowania zabezpieczającego, dlaczego aktualizacje aplikacji są ważne, a także na czym polega odpowiednia higiena w zakresie haseł.

Jeśli chodzi o oprogramowanie ochronne, polecamy taki produkt, który zapewni ochronę przed szpiegami, wykryje phishing i bezpiecznie przechowa hasła. Dzięki naszemu specjalnemu Trybowi gracza można cieszyć się bezpieczeństwem i wydajnością swojego komputera.

Porady