Come i cybercriminali colpiscono i giocatori di WoW

Ecco come i cybercriminali danno la caccia agli account Battle.net di World of Warcraft, con lo scopo di ottenere contenuti di valore.

Un account Battle.net è davvero prezioso per u cybercriminali. Possono usarlo per accedere ai giochi acquistati, ai personaggi, alla valuta e agli oggetti in-game. Se un giocatore ha configurato correttamente il proprio account, è probabile che l’assistenza tecnica lo aiuti a riprendere il controllo e a ripristinare il patrimonio virtuale rubato.

Tuttavia, i cybercriminali possono comunque causare molti disagi, quindi è meglio agire subito per evitare di essere attaccati in seguito. Affinché anche voi possiate evitare questa spiacevole situazione, vi diremo cosa abbiamo imparato da un tentativo di hackeraggio di un account Battle.net utilizzando il phishing in-game su World of Warcraft Classic.

Il meccanismo di furto dell’account “Bizzard”

Il phishing era un problema abbastanza comune nella versione originale di WoW. Tuttavia, non mi ero quasi mai imbattuto in questo inconveniente su World of Warcraft Classic, pubblicato di recente, cioè, fino a quando un guerriero di nome “Bizzard” non mi ha inviato un messaggio che potrebbe essere tradotto più o meno così: “[Blizzard Entertainment]  GM: Violazione: exploit economico. Si prega di visitare: [www.blizzardwarcraft.com]. Altrimenti, sospenderemo il tuo account”.

Messaggio di phishing in-game su World of Warcraft Classic

Dire che c’era qualcosa di sospetto in questo messaggio sarebbe un eufemismo. Tanto per cominciare, è difficile credere che un vero game master della Blizzard Entertainment risponda a violazioni identificate come “exploit economici” usando un nome di personaggio simile, ma non identico al nome dell’azienda e informi un giocatore che deve visitare un particolare sito.E poi, per la cronaca, non ho assolutamente fatto alcunché.

Di solito ignoro questi messaggi, ma questa volta mi sono incuriosito e ho deciso di indagare sul funzionamento di questa particolare tecnica. Per prima cosa, ho controllato il link usando i servizi whois perché ho riconosciuto che il dominio non apparteneva a Blizzard (come blizzard.com, battle.net, o worldofwarcraft.com). Inoltre, la legittimità del sito è stata messa in discussione dalla mancanza di qualsiasi certificato di sicurezza.

Come sospettavo, il dominio blizzardwarcraft.com che il potente Bizzard voleva che visitassi era stato registrato da meno di una settimana. Inoltre, i cybercriminali non si sono nemmeno sforzati di coprire le loro tracce: il dominio è stato registrato da qualcuno che si trova nella provincia cinese di Anhui attraverso l’Hongkong Domain Name Information Management Co., Ltd.

Confrontando il falso sito web della Blizzard con quello vero.

Tuttavia, il sito di phishing sembra convincente. Il suo aspetto è abbastanza simile alla pagina di login legittima eu.battle.net. L’etichetta Security Check, creata utilizzando il font e il colore sbagliato, rovina un po’ il risultato. E le opzioni di login di Facebook e Google non funzionano, come si potrebbe già sospettare. Tuttavia, quasi tutti gli altri link di questa pagina fraudolenta portano a veri e propri siti Blizzard. Detto questo, la loro nazionalità non è coerente: alcuni sono europei, altri americani.

Ho deciso di continuare la mia indagine per vedere esattamente come il cybercriminale avrebbe effettuato l’hackeraggio del mio account. Proprio sulla pagina falsa, ho cliccato sul link “Crea un account Blizzard gratuito” (il che andava bene; il link portava al sito Blizzard vero e proprio), e mi sono registrato per ottenere un nuovo account. Preparandomi così al mio esperimento, ho proceduto a consegnare l’account e la password appena creati ai malintenzionati.

Dopo aver inserito le mie credenziali sulla pagina falsa, i creatori del sito mi hanno chiesto di aiutarli a mettere al sicuro il mio nuovo account effettuando un rapido controllo. Per farlo, naturalmente, ho dovuto inserire un codice di verifica inviato via e-mail. Questo codice proveniva dal vero indirizzo di Blizzard.

Avevo anticipato quel passo, e non appena ho inserito le mie credenziali sulla pagina falsa, i cybercriminali le hanno inserite immediatamente sul sito reale. Ma dovevano anche inserire un codice di verifica. Blizzard ha inviato quel codice alla mia posta, ma i criminali informatici hanno avuto bisogno di ottenerlo da me. Naturalmente, ho fatto il loro gioco e ho inserito il codice sulla pagina falsa.

Inoltre, per qualche motivo, mi hanno chiesto di rispondere a una domanda segreta nella pagina finale. La verità è che, quando mi sono registrato, non ho impostato nessuna domanda segreta. Non c’è da preoccuparsi, però: ero pronto a dare loro una risposta.

“Controllo di sicurezza” sul falso sito web della Blizzard.

Sono stato poi informato di aver superato con successo la verifica. Come ci si potrebbe aspettare, allo stesso tempo qualcun altro ha effettuato l’accesso al mio nuovo account (l’indirizzo IP li ha collocati nella città tedesca di Brandeburgo, ma è improbabile che ilcybercriminale si stesse effettivamente collegando da lì; probabilmente stava usando un server proxy, una VPN o altri mezzi per mascherare virtualmente la loro vera posizione).

Qualcuno si è prima connesso attraverso l’applicazione Battle.net e poi è passato attraverso l’interfaccia web. Suppongo lo abbiano fatto perché gli hacker non hanno trovato alcun personaggio di World of Warcraft nel mio account Battle.net e hanno deciso di ricontrollare l’account utilizzando la versione Web.

Attività di login recente mostrata sul vero sito web di Blizzard

Dopo circa due ore e mezza, Blizzard mi ha inviato una notifica sostenendo che la mia password era stata reimpostata a causa di attività sospette. A quanto pare, le difese interne di Battle.net hanno determinato che qualcun altro aveva ottenuto l’accesso al mio account e sono entrate in azione per proteggermi dagli intrusi. Come potete vedere, Blizzard fa un ottimo lavoro nel mantenere i suoi utenti al sicuro.

Come evitare di cadere vittima di attacchi di phishing su World of Warcraft

L’attacco che ho subito è improbabile che sia l’ultimo tentativo di phishing su World of Warcraft Classic. Per ridurre al minimo i danni derivanti dalle azioni degli intrusi, così come per rendere il gioco più sicuro non solo per voi stessi, ma anche per gli altri, tenete a mente alcune cose:

  • In World of Warcraft, accanto al nome dei game master appare sempre un’icona speciale (sembra “BLIZZ” in blu). Se non vedete l’icona, allora non state parlando con un game master;
  • Gli exploit economici e le altre violazioni delle regole del gioco comportano sempre il blocco del vostro account. Non sono un motivo legittimo per un “controllo di sicurezza” del vostro account;
  • È improbabile che i responsabili di gioco vi inviino un link di terze parti. Hanno già gli strumenti necessari per combattere le violazioni. Per confermare la proprietà del vostro account, tutto quello che devono fare è reimpostare la vostra password e allontanare chiunque stia usando l’account;
  • Se un giocatore vi contatta con questo tipo di richiesta, segnalate il comportamento inappropriato utilizzando il modulo di battle.net;
  • È utile seguire i consigli di Blizzard per mantenere il vostro account al sicuro. Tutto è esposto in modo chiaro e corretto: come impostare una password sicura e un’autenticazione a due fattori, perché è necessario un software di protezione, perché gli aggiornamenti delle applicazioni sono importanti e come scegliere bene le password.

Per quanto riguarda il software di protezione, si consiglia di utilizzare una soluzione di sicurezza che vi protegga dagli spyware, che rilevi i tentativi di phishing e memorizzi le password in modo sicuro. La nostra modalità di gioco dedicata vi permette di raggiungere questo obiettivo senza minare le prestazioni di gioco del vostro dispositivo.

Consigli