MILANO – Nel settore dei videogiochi, ogni giorno la sicurezza è una sfida e i criminali sono una minaccia. Purtroppo si sa poco di come funziona l’economia criminale, cosa motiva i criminali, quali metodi specifici utilizzano e come interagiscono tra loro. Il SOTI Security Report dedicato al mondo del gaming verrà pubblicato a settembre e darà una risposta esaustiva a tutte queste domande. In attesa del rapporto, ora è il caso di capire come funziona davvero un’economia criminale.
Che cos’è un’economia criminale
La prima cosa da capire dei criminali che attaccano l’industria dei videogiochi è che sono parte di un’economia fluida, costante e funzionale, ma soprattutto che si gestiscono completamente da soli. In questa economia non c’è una regolamentazione, c’è solo la reputazione. E funziona, soprattutto in termini di incentivi finanziari e di struttura operativa. Si svolge non solo nei loschi forum privati e nei mercati neri, ma ovunque i criminali possano comunicare: Facebook, Discord, forum di messaggistica pubblica, e, prima del COVID-19, anche all’aperto in occasione di convegni e meeting.
Come operano i criminali
I criminali informatici hanno ormai delle vere e proprie strutture aziendali che rispecchiano l’efficienza e l’organizzazione delle aziende che tutti noi conosciamo. Hanno sviluppatori, responsabili di Quality Assurance, project manager, addetti alle vendite e persino addetti al marketing e alle pubbliche relazioni, che fanno pubblicità ai fornitori e ai prodotti.
I bot sono un esempio concreto. Sono alimentati da server, domain controller e una grande centrale operativa che fornisce ai sistemi infetti i comandi. I criminali hanno poi bisogno di infrastrutture e le ottengono sia scambiandosele uno con l’altro che spesso con i fornitori di cloud pubblici. In realtà, i bot non devono nemmeno essere necessariamente sistemi infetti poichè spesso i criminali, per eseguire i loro attacchi, si limitano ad acquistare spazio sulle piattaforme di cloud computing. Da lì, gli aspetti operativi rispecchiano fedelmente la distribuzione delle applicazioni e il lancio dei prodotti aziendali e i bot vengono addirittura codificati e subiscono un controllo qualità. Vengono poi commercializzati e venduti. In seguito gli acquirenti tornano con richieste di funzionalità o servizi e i codificatori li aggiornano e li rimettono in circolazione. Dal punto di vista marketing, i singoli criminali costruiscono la loro reputazione su violazioni di dati e prodotti di successo: mettono a disposizione gratuitamente grandi quantità di informazioni per far crescere la loro reputazione, oltre a rubare e scambiarsi dati. Detta così, l’immagine che tutti hanno di un hacker, un ragazzo solitario in uno scantinato malmesso, sembra del tutto pittoresca di fronte ai fatti.
Queste “aziende criminali” si avvalgono anche di esperti di PR. Ad esempio, all’inizio di quest’anno è stato lanciato un celebre gioco con una protezione anti-truffa piuttosto importante. L’editore in questione è di proprietà di un player minore dell’industria cinese. In risposta a questa protezione difficile da hackerare, è stato pubblicato un vero e proprio comunicato stampa secondo cui la società aveva installato un “rootkit cinese” sui PC dei giocatori. Era un’affermazione ridicola, ma ha causato a quell’editore un bel po’ di problemi con la sua community. Tutto per spingerli ad allentare la loro sicurezza built-in.
Quali sono gli obiettivi dei criminali?
Tra i tanti, l’obiettivo primario della maggior parte dei criminali è il furto degli account tramite credential stuffing. Un altro problema è rappresentato dagli attacchi DDoS, sia per il ransom che per altri tipi di attacco. Ma i dati più facili da raccogliere per i criminali sono gli account e il loro valore. Nel rapporto “State of the Internet/Security report on web attacks and gaming abuse” del 2019, Akamai ha evidenziato come su un periodo di 17 mesi ha registrato 55 miliardi di attacchi di credential stuffing e 12 miliardi sono quelli che hanno preso di mira l’industria dei videogiochi.
I criminali generalmente attaccano gli account di gaming attraverso liste di password divulgate. Colpiscono per primi gli account più facili da “craccare” prendendo di solito di mira gli account di proprietà dei giocatori che riutilizzano le password e non hanno abilitato l’autenticazione multi-fattore. È sufficiente una banale ricerca su YouTube per avere come risultato un numero assurdo di video tutorial su come farlo in modo efficace contro specifici giochi popolari.
È importante sapere che, una volta compromessi, anche i frammenti di account hanno un valore per un criminale. I criminali sono alla ricerca di informazioni di identificazione personale (PII), che potrebbero aiutarli a spostarsi lateralmente in altri account di valore. Sono anche alla ricerca di oggetti di gioco o valute che possono essere scaricati in un altro account, scambiati o venduti sui mercati secondari. Ci sono anche casi in cui il criminale si limita a “capovolgere” e a vendere l’intero account a qualcuno che non ha voglia di “macinare” e vuole giocare.
Una volta che un criminale ha prosciugato un conto di valore, passa rapidamente al successivo. E così facendo continuano a realizzare profitti significativi.
Come proteggersi?
Ci sono diversi modi per proteggersi dai criminali informatici. Gli sviluppatori e gli editori di giochi utilizzano un approccio multistrato per combatterli. Akamai, grazie a Bot Manager, aiuta a proteggersi dai criminali informatici. Consente infatti una migliore visibilità dell’ecosistema aziendale, in modo da poter vedere cosa succede nei log in tempo reale. Legando Bot Manager ad una piattaforma di gestione delle informazioni di sicurezza e degli eventi (SIEM), potete sfornare un’intelligenza attiva che permetterà ai team di sicurezza di prendere decisioni aziendali critiche sui cambiamenti e sui processi del momento e soprattutto di concentrarsi sui modi più efficaci per allocare le loro limitate risorse per combattere le minacce alla sicurezza.