{"id":22563,"date":"2020-08-19T16:19:56","date_gmt":"2020-08-19T14:19:56","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22563"},"modified":"2020-08-19T16:19:56","modified_gmt":"2020-08-19T14:19:56","slug":"wow-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/wow-phishing\/22563\/","title":{"rendered":"Come i cybercriminali colpiscono i giocatori di WoW"},"content":{"rendered":"

Un account Battle.net \u00e8 davvero prezioso per u cybercriminali. Possono usarlo per accedere ai giochi acquistati, ai personaggi, alla valuta e agli oggetti in-game. Se un giocatore ha configurato correttamente il proprio account, \u00e8 probabile che l\u2019assistenza tecnica lo aiuti a riprendere il controllo e a ripristinare il patrimonio virtuale rubato.<\/p>\n

Tuttavia, i cybercriminali possono comunque causare molti disagi, quindi \u00e8 meglio agire subito per evitare di essere attaccati in seguito. Affinch\u00e9 anche voi possiate evitare questa spiacevole situazione, vi diremo cosa abbiamo imparato da un tentativo di hackeraggio di un account Battle.net utilizzando il phishing in-game su World of Warcraft Classic<\/em>.<\/p>\n

Il meccanismo di furto dell\u2019account \u201cBizzard\u201d<\/h2>\n

Il phishing era un problema abbastanza comune nella versione originale di WoW. Tuttavia, non mi ero quasi mai imbattuto in questo inconveniente su World of Warcraft Classic, pubblicato di recente, cio\u00e8, fino a quando un guerriero di nome \u201cBizzard\u201d non mi ha inviato un messaggio che potrebbe essere tradotto pi\u00f9 o meno cos\u00ec: \u201c[Blizzard Entertainment] \u00a0GM: Violazione: exploit economico. Si prega di visitare: [www.blizzardwarcraft.com]. Altrimenti, sospenderemo il tuo account\u201d.<\/p>\n

\"\"

Messaggio di phishing in-game su World of Warcraft Classic<\/p><\/div>\n

Dire che c\u2019era qualcosa di sospetto in questo messaggio sarebbe un eufemismo. Tanto per cominciare, \u00e8 difficile credere che un vero game master della Blizzard Entertainment risponda a violazioni identificate come \u201cexploit economici\u201d usando un nome di personaggio simile, ma non identico al nome dell\u2019azienda e informi un giocatore che deve visitare un particolare sito.E poi, per la cronaca, non ho assolutamente fatto alcunch\u00e9.<\/p>\n

Di solito ignoro questi messaggi, ma questa volta mi sono incuriosito e ho deciso di indagare sul funzionamento di questa particolare tecnica. Per prima cosa, ho controllato il link usando i servizi whois perch\u00e9 ho riconosciuto che il dominio non apparteneva a Blizzard (come blizzard.com, battle.net, o worldofwarcraft.com). Inoltre, la legittimit\u00e0 del sito \u00e8 stata messa in discussione dalla mancanza di qualsiasi certificato di sicurezza.<\/p>\n

Come sospettavo, il dominio blizzardwarcraft.com che il potente Bizzard voleva che visitassi era stato registrato da meno di una settimana. Inoltre, i cybercriminali non si sono nemmeno sforzati di coprire le loro tracce: il dominio \u00e8 stato registrato da qualcuno che si trova nella provincia cinese di Anhui attraverso l\u2019Hongkong Domain Name Information Management Co., Ltd.<\/p>\n

\"\"

Confrontando il falso sito web della Blizzard con quello vero.<\/p><\/div>\n

Tuttavia, il sito di phishing sembra convincente. Il suo aspetto \u00e8 abbastanza simile alla pagina di login legittima eu.battle.net. L\u2019etichetta Security Check, creata utilizzando il font e il colore sbagliato, rovina un po\u2019 il risultato. E le opzioni di login di Facebook e Google non funzionano, come si potrebbe gi\u00e0 sospettare. Tuttavia, quasi tutti gli altri link di questa pagina fraudolenta portano a veri e propri siti Blizzard. Detto questo, la loro nazionalit\u00e0 non \u00e8 coerente: alcuni sono europei, altri americani.<\/p>\n

Ho deciso di continuare la mia indagine per vedere esattamente come il cybercriminale avrebbe effettuato l\u2019hackeraggio del mio account. Proprio sulla pagina falsa, ho cliccato sul link \u201cCrea un account Blizzard gratuito\u201d (il che andava bene; il link portava al sito Blizzard vero e proprio), e mi sono registrato per ottenere un nuovo account. Preparandomi cos\u00ec al mio esperimento, ho proceduto a consegnare l\u2019account e la password appena creati ai malintenzionati.<\/p>\n

Dopo aver inserito le mie credenziali sulla pagina falsa, i creatori del sito mi hanno chiesto di aiutarli a mettere al sicuro il mio nuovo account effettuando un rapido controllo. Per farlo, naturalmente, ho dovuto inserire un codice di verifica inviato via e-mail. Questo codice proveniva dal vero indirizzo di Blizzard.<\/p>\n

Avevo anticipato quel passo, e non appena ho inserito le mie credenziali sulla pagina falsa, i cybercriminali le hanno inserite immediatamente sul sito reale. Ma dovevano anche inserire un codice di verifica. Blizzard ha inviato quel codice alla mia posta, ma i criminali informatici hanno avuto bisogno di ottenerlo da me. Naturalmente, ho fatto il loro gioco e ho inserito il codice sulla pagina falsa.<\/p>\n

Inoltre, per qualche motivo, mi hanno chiesto di rispondere a una domanda segreta nella pagina finale. La verit\u00e0 \u00e8 che, quando mi sono registrato, non ho impostato nessuna domanda segreta. Non c\u2019\u00e8 da preoccuparsi, per\u00f2: ero pronto a dare loro una risposta.<\/p>\n

\"\"

\u201cControllo di sicurezza\u201d sul falso sito web della Blizzard.<\/p><\/div>\n

Sono stato poi informato di aver superato con successo la verifica. Come ci si potrebbe aspettare, allo stesso tempo qualcun altro ha effettuato l\u2019accesso al mio nuovo account (l\u2019indirizzo IP li ha collocati nella citt\u00e0 tedesca di Brandeburgo, ma \u00e8 improbabile che ilcybercriminale si stesse effettivamente collegando da l\u00ec; probabilmente stava usando un server proxy, una VPN o altri mezzi per mascherare virtualmente la loro vera posizione).<\/p>\n

Qualcuno si \u00e8 prima connesso attraverso l\u2019applicazione Battle.net e poi \u00e8 passato attraverso l\u2019interfaccia web. Suppongo lo abbiano fatto perch\u00e9 gli hacker non hanno trovato alcun personaggio di World of Warcraft<\/em>\u00a0nel mio account Battle.net e hanno deciso di ricontrollare l\u2019account utilizzando la versione Web.<\/p>\n

\"\"

Attivit\u00e0 di login recente mostrata sul vero sito web di Blizzard<\/p><\/div>\n

Dopo circa due ore e mezza, Blizzard mi ha inviato una notifica sostenendo che la mia password era stata reimpostata a causa di attivit\u00e0 sospette. A quanto pare, le difese interne di Battle.net hanno determinato che qualcun altro aveva ottenuto l\u2019accesso al mio account e sono entrate in azione per proteggermi dagli intrusi. Come potete vedere, Blizzard fa un ottimo lavoro nel mantenere i suoi utenti al sicuro.<\/p>\n

Come evitare di cadere vittima di attacchi di phishing su World of Warcraft<\/h2>\n

L\u2019attacco che ho subito \u00e8 improbabile che sia l\u2019ultimo tentativo di phishing su World of Warcraft Classic<\/em>. Per ridurre al minimo i danni derivanti dalle azioni degli intrusi, cos\u00ec come per rendere il gioco pi\u00f9 sicuro non solo per voi stessi, ma anche per gli altri, tenete a mente alcune cose:<\/p>\n