Gry online: socjotechnika jedną z metod kradzieży haseł

Przeczytaj także: Gry online a złośliwe oprogramowanie 2007

Najnowszym etapem w ewolucji autoochrony szkodliwego oprogramowania tworzonego dla gier online są technologie rootkit. Technologie te potrafią ukrywać działania szkodliwych programów zarówno przed oprogramowaniem antywirusowym jak i przed wszystkimi procesami systemowymi.Obecnie szkodliwe programy tworzone dla gier online wykorzystują zwykle wszystkie te trzy techniki łącznie.

Przykładowo Lineage2 jest znacznie bardziej popularny w Azji, podczas gdy World of Warcraft jest popularniejszy w Ameryce i Europie. Trojany tworzone dla tych gier, takie jak Trojan-PSW.Win32.Nilage (który kradnie hasła do Lineage II) oraz Trojan-PSW.Win32.WOW (którego celem jest World of Warcraft) ewoluowały w bardzo różnych kierunkach. Pierwszy z tych programów wykorzystuje pakery, aby trudniej było go wykryć podczas skanowania sygnatur. Dzięki nim może zamaskować swoją obecność w systemie i uniknąć wykrycia przez skaner antywirusowy. Drugi bezpośrednio zwalcza oprogramowanie antywirusowe poprzez wyłączenie funkcji bezpieczeństwa na zainfekowanej maszynie.

Sposób przeprowadzania współczesnych ataków

Obecnie ataki na graczy komputerowych przeprowadzane są poprzez tworzenie robaków, które posiadają wiele funkcji: mogą samodzielnie rozprzestrzeniać się (robaki pocztowe, robaki P2P, robaki sieciowe), infekować pliki wykonywalne (wirusy), maskować swoją obecność w systemie (rootkity) oraz kraść hasła (trojany PSW).

W typowym ataku zostanie masowo rozesłany robak z wieloma funkcjami. Jeden nierozważny krok odbiorcy takiego spamu (kliknięcie odsyłacza wewnątrz wiadomości, otworzenie nieznanego pliku itd.) oznacza, że wszystkie pliki wykonywalne na komputerze zostaną zainfekowane, robak wyśle się na wszystkie adresy w książce adresowej użytkownika, a następnie szkodliwy kod znajdzie się we wszystkich zasobach sieciowych, do których będzie mógł uzyskać dostęp. Jednak ofiara niczego nie zauważy, ponieważ technologia rootkit zamaskuje jego obecność w systemie.

Interesujące jest to, że w prawie wszystkich tych rodzajach ataków, skradzione hasła wysyłane są na adres e-mail lub serwer FTP w domenie .cn.

Kradzież haseł do gier online kojarzy się z Azją - ze statystyk wynika, że w regionie tym znajduje się największa liczba graczy online. Problem kradzieży haseł do gier online dotyczy głównie Chin i Korei Południowej. Przyczyny nie są całkowicie jasne, jednak liczby mówią za siebie: ponad 90% wszystkich trojanów, których celem są gry online, powstaje w Chinach, a 90% haseł kradzionych przez te trojany należy do graczy wykorzystujących strony z Korei Południowej. Nowe trojany tworzone dla gier online pojawiają się bardzo rzadko w innych państwach, jednak liczba modyfikacji prawie nigdy nie przekracza 2 lub 3.

Komputeryzacja i szybki rozwój informatyki w Rosji naturalnie wywarły wspływ na ewolucję rozrywki z wykorzystaniem komputerów. Charakterystyczną cechą rosyjskiego przemysłu gier jest popularność gier BBMMORPG (Browser-Based Massive Multiplayer Online Role Playing Games). Tego typu gry, z których największą popularnością cieszyła się Fight Club (Combats.ru) w 2002 roku, nie posiadają oddzielnego klienta gry: wszystko dzieje się za pośrednictwem przeglądarki.

Duża liczba takich gier oraz grających w nią osób zwróciła oczywiście uwagę rosyjskich cyberprzestępców. W celu rozprzestrzeniania szkodliwych programów w rosyjskich atakach wykorzystywano głównie metody phishingu. W Internecie zaczęły pojawiać się liczne klony strony gry Fight Club i innych, jak również wysyłane w wiadomościach phishingowych odsyłacze do tych stron.

Podczas ataku wiadomość e-mail - wysłana rzekomo przez administratorów strony internetowej - informowała odbiorcę o zmianie adresu serwera obsługującego grę. Gdy gracze próbowali wejść na nowy adres, otrzymywali komunikat o błędzie. Zainstalowany na fałszywej stronie bot automatycznie zmieniał hasła wprowadzane przez graczy na oryginalnym serwerze obsługującym grę. W rezultacie, użytkownicy nie mogli wejść do gry przy pomocy swoich starych haseł, a złodzieje mieli nowe "legalne" hasła, które dawały im całkowitą wolność w grze oraz możliwość przywłaszczenia sobie cudzej wirtualnej własności.

Te Wiadomości oraz strony phishingowe klasyfikowane są przez firmę Kaspersky Lab jako Trojan-Spy.HTML.Fraud oraz Trojan-Spy.HTML.Combats.