Kaspersky Lab, societÃ specializzata nello sviluppo di tecnologie e software per la sicurezza informatica dei dati, con uffici in Russia, Regno Unito e Stati Uniti, ha pubblicato sul sito Viruslist.com â€œGiochi online e frodi: un modo semplice per guadagnareâ€, un interessante articolo scritto da Sergey Golovanov, Virus Analyst Kaspersky.

Le frodi nei giochi online

L’articolo spiega che i giochi online si sono diffusi così rapidamente permettendo di esplorare stupendi mondi virtuali e di eseguire dei compiti (conosciuti come quest) che permettono di guadagnare soldi, valori ed esperienza e non solo punti come nei tradizionali giochi per computer. Questi giochi possono essere acquistati e scaricati da Internet, ma per poterci giocare è richiesta una sottoscrizione mensile. Il ricavato di queste sottoscrizioni mensili copre i costi di traffico e l’assistenza per i server di gioco e per il loro sviluppo. Ogni giorno vengono presentati nuovi giochi ed il numero dei giocatori è costantemente in crescita.

I giochi online non vengono eseguiti sempre attraverso server legali. I server illegali purtroppo sono molto popolari tra gli studenti e gli adolescenti che dispongono di limitate risorse economiche – per quale ragione pagare una sottoscrizione quando è possibile giocare su un server non ufficiale? Gli autori spiegano che spesso i siti non ufficiali sono impostati per ottenere denaro non dalle sottoscrizioni ma dalla vendita di oggetti virtuali in cambio di valuta reale. Queste vendite possono anche venir condotte dagli amministratori dei server ufficiali a seconda delle scelte politiche.

L’autore pone una interessante domanda – se gli amministratori dei server di gioco pongono in vendita degli articoli, lo stesso giocatore è legittimato a comprare tali articoli? La risposta è Si. Anche se ciò è spesso in contrasto con la prassi amministrativa. Alcuni siti Internet riportano precise informazioni sui prezzi dei vari articoli in vendita anche se molto di frequente le transazioni sono illegali.

Ogni articolo presente nei giochi online ha un suo prezzo in valuta regolare che dipende dalla domanda. Se la domanda per gli articoli presenti nei giochi è elevata o, se vi sono informazioni riservate, questi sono oggetti di furto. Con adeguate conoscenze è relativamente facile compiere questi furti – molti server dei giochi utilizzano password di autenticazione. Purtroppo l’attività dubbia o criminale degli amministratori dei server non ufficiali è difficile da controllare e le vittime non possono avvalersi del supporto degli amministratori.

I giocatori online sono costantemente oggetto di attenzione da parte dei cyber criminali che utilizzano qualsiasi metodo per sottrarre informazioni riservate:

Un metodo usato dai cyber criminali è quello di entrare in un gioco o in un forum su un server di gioco ed offrire un bonus in cambio della password dei giocatori. I giocatori più sprovveduti interessati solo a rendere più facile la propria esistenza saranno spesso tentati da queste offerte.

Un’altro noto metodo che sfrutta l’attitudine sociale è il phishing, con il quale i cyber criminali inviano messaggi phishing di posta che invitano il giocatore ad autenticare il proprio stato utilizzando un link presente nel messaggio stesso.

Sebbene queste tecniche di ottenimento delle password siano semplici ed efficaci, non generano grandi profitti agli utenti spregiudicati, come pure a utenti più esperti o più ricchi.

Come qualsiasi altro software anche i codici dei server dei giochi contengono errori e bug di programma. Queste potenziali vulnerabilità possono essere sfruttate dai criminali informatici per ottenere l’accesso ai database del server e password o hashes password (password criptate che vengono decriptate da specifici programmi) dei giocatori. Ad esempio è nota una vulnerabilità connessa alla chat dei giocatori che evidenzia se l’ambiente della chat non viene separato dal database del gioco. In questo caso utenti scorretti possono sottrarre le password direttamente dalla chat.

L’autore sottolinea il fatto che utenti scorretti possono sfruttare il sistema progettato per ricordare all’utente le password dimenticate. L’articolo evidenzia inoltre che il numero ed il tipo di vulnerabilità sono direttamente legate allo stato del server – creare patches per i server non ufficiali (se gli amministratori spingono in questa direzione) richiede più tempo che attaccare le vulnerabilità dei server ufficiali.

Sfruttare le vulnerabilità dei server di gioco richiede una notevole abilità tecnica e per questa ragione questo metodo non ha una grande diffusione.

Questo argomento è sviluppato abbondantemente nell’articolo. I programmi maligni progettati per sottrarre le password vengono diffusi con ogni mezzo. Possono essere impiegati programmi maligni confezionati sia per rubare qualsiasi password sia per rubare solo le password dei giochi online.

I programmi classificati da Kaspersky Lab come Trojan-PSW e Trojan-Spy (che intercettano i dati inseriti dalla tastiera trasmettendoli a remoti utenti disonesti) e varianti della famiglia Trojan.32.Qhost (che modificano il file contenente la mappatura degli indirizzi di rete appartenenti al dominio) vengono utilizzati per sottrarre le password. Trojan-Spy.Win32.Delf ha una simile funzionalità ma configura un falso proxy server all’interno del browser che si attiva con il collegamento ai server di gioco.

L’utilizzo di programmi maligni per sottrarre password si è dimostrato semplice ed efficace e, di conseguenza, molto popolare.

L’articolo inoltre ripercorre l’evoluzione dei programmi maligni progettati per recuperare le password. Il primo impiego di questi programmi risale al 1997. In principio i criminali informatici usavano i classici keylogger. Il primo Trojan progettato specificatamente per intercettare i giochi online è stato il Trojan-PSW.Win32.Lmir.a che rubava le password a “La Laggenda di Mir”. Questo programma è stato il precursore di una generazione di Trojan specifici di una ampia gamma di giochi online.

Trojan-PSW.Win32.OnLineGame.a ha rappresentato un altro significativo sviluppo in quanto questo Trojan raggiungeva quasi tutti i popolari giochi online. Ogni sua variante incorpora l’indirizzamento verso i giochi più recenti.

Un moderno Trojan progettato per sottrarre le password dai giochi online è tipicamente una libreria dinamica scritta in Delphi che in modo automatico si connette a tutte le applicazioni lanciate dal sistema. Quando rileva che è stato avviato un gioco online esso intercetta la password introdotta con la tastiera, ne spedisce l’informazione ad un utente remoto e poi si cancella.

Oltre all’uso dei Trojan per sottrarre le password vengono anche impiegati i cosiddetti worms. Il loro vantaggio è che sono capaci di infettare i file eseguibili e copiare se stessi su dischi di rete o rimovibili come pure di diffondersi attraverso la posta elettronica.

Attualmente la più recente conquista di questi scrittori di virus per giochi online è il polimorfico Virus.Win32.Alman.a ed il suo successore Virus.Win32.Hala.a. Oltre alla capacità di infettare i file eseguibili questi programmi sono capaci di diffondersi attraverso le risorse di rete, mascherare la loro presenza nel sistema, e contenere una funzione backdoor.

Gli autori di programmi maligni tentano altresì di proteggere i propri programmi contro le soluzioni antivirus utilizzando packers, tecnologie che cercano di contrastare anti-virus e tecnologie rootkit che nascondono la presenza di questi programmi nel sistema. I più recenti programmi maligni destinati ai giochi online incorporano tutti e tre i tipi di meccanismi di auto-difesa.

L’articolo esamina anche come gli attacchi vengono condotti usando un worm per sottrarre le password dei giochi di rete. Utenti maligni creano un worm a funzioni multiple: un unico pacchetto contenente worm di posta elettronica, worm per il network, worm p2p, rootkit per file eseguibili e sottrazione password. Il worm sarà poi diffuso massicciamente attraverso la posta elettronica e l’incauto utente cliccando su un link presente nel messaggio potrebbe trovarsi in una posizione decisamente poco felice.

L’autore descrive il furto delle password in termini di distribuzione geografica affermando che più del 90% di tutti i Trojan che puntano ai giochi online vengono scritti in Cina e che il 90% delle password sottratte da questi Trojan appartengono a giocatori su siti della Corea del Sud. L’informatizzazione e la rapida crescita dell’IT in Russia hanno avuto anche un impatto sull’evoluzione dei giochi di intrattenimento - giochi online, che non hanno altri scopi e che vengono giocati all’interno del browser, sono diventati molto popolari. Questa popolarità ha generato un aumento degli attacchi phishing con i quali vengono diffusi messaggi contenenti collegamenti ai siti di gioco. L’articolo riporta inoltre le statistiche che testimoniano l’aumento del numero di programmi maligni e l’entità di attenzione a cui i diversi giochi sono sottoposti da parte dei cyber criminali.

L’autore conclude che coloro che vivono delle proprietà virtuali di altre persone sono quasi sempre immuni da un punto di vista legale. E’ lo stesso sviluppatore del gioco che dovrebbe affrontare questo argomento assieme alle società di antivirus. Nel 2004 un accordo tra Kaspersky Lab e lo sviluppatore russo del gioco online Fight Club ha prevenuto il furto di migliaia di password e la vendita di articoli attraverso il gioco per un valore cinque volte superiore al suo valore reale in dollari americani.

L’articolo termina formulando l’opinione che coloro che sono entrati nel mirino (ad esempio i giocatori) dovrebbero fare propria la materia usando il buon senso, esercitando prudenza ed installando le migliori soluzioni di protezione disponibili.