От фишинга до вирусов: как мошенники обкрадывают российских геймеров

«Лаборатория Касперского» зафиксировала всплеск фишинга, нацеленного на игроков Warface

Unsplash
В рунете появилось около 200 адресов мошеннических сайтов, ориентированных на пользователей онлайн-«стрелялки» Warface. Большая их часть была зарегистрирована в 2022 году, сообщили «Газете.Ru» в Infosecurity a Softline Company. По словам ИБ-специалистов, все эти ресурсы созданы для кражи аккаунтов у геймеров и последующего вымогательства денег в обмен на возвращение доступа. Вместе с тем эксперты отметили, что Warface – не единственный игровой проект, на имени которого наживаются злоумышленники: среди них также популярны игры Brawl Stars, Counter-Strike: Global Offensive и World of Tanks.

Не ходите, дети

В рунете появились 183 домена с именами, связанными с онлайн-игрой Warface. Об этом «Газете.Ru» рассказал руководитель блока специальных сервисов Infosecurity a Softline Company Сергей Трухачев. Большая их часть – 109 адресов – появилась в 2022 году. По его словам, все обнаруженные ссылки предназначены для мошеннических сайтов, ориентированных на поклонников шутера Warface.

«Домены были зарегистрированы в период с апреля 2019 года по июнь 2022 года. Эти домены используются для действующих фишинговых сайтов. Выборочная проверка показала, что большинство из этих адресов активны, а значит представляют угрозу», – сообщил эксперт.

Проверка корреспондента «Газеты.Ru» показала, что по всем ссылкам открывается сайт с одинаковым оформлением. На странице изображены четыре класса бойцов из Warface c премиальной амуницией, а также текст с призывом получить дорогие предметы в подарок. При нажатии кнопки «Войти и забрать» открывается окно авторизации, где нужно ввести логин и пароль от аккаунта в игре.

«Суть схемы проста: человек думает, что участвует в акции от разработчиков, вводит на фейковом сайте свои логин и пароль и теряет доступ к аккаунту, так как логин и пароль попадают в руки злоумышленников», – объяснил Трухачев.

Контент-аналитик «Лаборатории Касперского» Ольга Свистунова отметила, что в компании тоже фиксируют большой объем фишинга, нацеленный на игроков Warface.

«Вероятнее всего, аккаунты крадут, чтобы затем продавать игровой инвентарь, который имеется у пользователя, или чтобы заполучить игровую валюту», — предположила Свистунова.

Ведущий аналитик Group-IB Digital Risk Protection Евгений Егоров уточнил, что подобная схема применяется не только по отношению к Warface, но и к другим онлайн-играм. Так в 2022 году в компании зарегистрировали 246 сайтов, эксплуатирующих названия всемирно известных мобильных игр, популярных преимущественно среди детей. В пример он привел онлайн-шутер для смартфонов Brawl Stars.

«Мошенники предлагают купить со скидкой или получить бесплатно внутриигровую валюту — «кристаллы» или «гемы». Переходя из рекламного объявления или блога, пользователь попадает на страницу, стилизованную под известный бренд. Его просят ввести свои личные данные, например, никнейм из сервиса или игры, выбрать операционную систему, а также бонусы для зачисления», – сказал Егоров.

В результате этой схемы, по его словам, пользователи лишаются доступа к своим аккаунтам, а иногда теряют средства на банковских картах.

Директор технического департамента RTM Group Федор Музалевский отметил, что сегодня также встречаются аналогичные вредоносные сайты, ориентированные на пользователей игр Counter-Strike: Global Offensive и World of Tanks.

Аналогичным образом высказался директор блока экспертных сервисов BI.ZONE Евгений Волошин.

Продюсер Warface Степан Горохов рассказал, «Газете.Ru», что компания-разработчик на регулярной основе отслеживает подобные сайты и работает над тем, чтобы подобные домены блокировались и отключались как можно скорее.

«Однако важно понимать, что закрытие находится на стороне владельца хостинга, и не всегда ограничение доступа происходит оперативно», – сказал он.

Мелочь, а неприятно

Мошенники нацелились на игроков Warface из-за того, что эта игра использует типичную схему, в рамках которой компания зарабатывает не на продаже копий проекта, а на дополнительном контенте внутри игры, которая «имеет под капотом систему прокачки персонажа», объяснил Музалевский.

«Чтобы игрок смог открыть разные виды вооружения, приходится много времени проводить в игре и (или) покупать дополнительные предметы за реальные деньги. В игре есть также магазин с товарами, предназначенными для стилизации оружия и персонажа, которые тоже продаются за рубли и другую валюту», – сказал он.

Украв аккаунт от игры, злоумышленник оценивает персонажа и амуницию и обращается к жертве с предложением выкупа. По данным Музалевского, сумма, которую просят у игроков Warface, варьируется в районе от 100 до 4 тыс. руб.

В случаях, когда продать аккаунт владельцу не удается, злоумышленники идут на теневые рынки или форумы, посвященные игре, и продают их там.

«На сторонних площадках также можно приобрести «прокачанные» аккаунты с большим арсеналом, высоким уровнем и т.д. Их стоимость достигает нескольких тысяч рублей», – сказал Музалевский.

Директор по специальным проектам Angara Security Александр Дворянский оценил сумму покупки краденых аккаунтов на форумах в районе 2-3 тыс. руб. По его словам, в других играх цены на высокоуровневые аккаунты могут достигать даже нескольких тысяч долларов.

«Ранее уже были зафиксированы примеры подобных мошенничеств», – уточнил он.

Руководитель группы анализа угроз информационной безопасности, Positive Technologies Вадим Соловьев заявил, что часто краденные аккаунты продают именно на форумах, посвященных той или иной игре. По его словам, там злоумышленники отыгрывают роль разочаровавшегося или уставшего геймера, который хочет хоть как-то отбить вложенные в прокачку персонажа средства и забросить игру.

«Цены на аккаунты, которые продают сами владельцы, обычно учитывают затраты на прокачку, уровень персонажей, ценность виртуальных предметов на аккаунте и другие факторы. При продаже краденых аккаунтов дисконт может доходить до 20% от объективной стоимости аккаунта. Это может выглядеть как отличное предложение для тех, кто хочет получить все и сразу за копейки, но есть и обратная сторона», – сказал эксперт.

Продюсер Warface Степан Горохов отметил, что команда разработчиков часто помогает пострадавшим с восстановлением доступа к украденным у них аккаунтов. Главное для жертвы, добавил он, сразу обратиться к разработчикам в поддержку.

«При этом также хотелось бы отметить, что игроки зачастую пренебрегают правилами информационной безопасности, потому не всегда то, что кажется на первый взгляд кражей аккаунта, оказывается ей после проверки. Мы регулярно информируем пользователей об угрозах фишинга, призываем усиливать безопасность аккаунта», – добавил Горохов.

Не фишингом единым

ИБ-специалисты отметили, что описанная выше схема с мошенническими сайтами – лишь одна из многих, которыми пользуются злоумышленники, охотящиеся на геймеров. Так, Ольга Свистунова из «Лаборатории Касперского» сообщила, что иногда для кражи игровых аккаунтов киберпреступники используют специальные компьютерные вирусы.

«Злоумышленники могут попытаться украсть учетную запись (в игре или на игровой платформе) не только с помощью фишинга, но и, например, используя вредоносное ПО. В частности, в прошлом году наши коллеги обнаружили, что на форумах в даркнете продавали троянец, который используется для кражи учетных записей в популярных игровых платформах, таких как Steam, Epic Games Store и EA Origin», – сказала она.

Генеральный директор компании Phishman (специализируется на разработке сервисов и курсов по обучению сотрудников компаний навыкам противодействия кибератакам. — «Газета.Ru») Алексей Горелкин отметил, что иногда геймеров могут поджидать мошенники и в сфере услуг по прокачке персонажей.

«Есть группы и чаты в соцсетях и мессенджерах, в которых люди зарабатывают тем, что прокачивают чужие аккаунты в разных играх за деньги. Так вот, в таких каналах бывают злоумышленники, которые предлагают услугу, получают доступ к аккаунту и крадут его. В некоторых случаях они крадут также аккаунты от электронной почты, соцсетей и не только», – сказал он.

Так, по словам Горелкина, происходит потому, что часто люди используют одинаковые пары логина и пароля в играх и других онлайн-сервисах, а также не используют двухфакторную аутентификацию.

Музалевский в заключение отметил, что с особой осторожностью геймерам стоит относиться и к читам (вид ПО, который дает игрокам преимущества перед соперниками за счет использования нелегитимных функций игры. — «Газета.Ru»), поскольку они тоже часто заражены вирусами, которые нацелены на кражу аккаунтов.