Oszustwa związane z grami online: ewolucja czarnego rynku

Oszustwa związane z grami online: ewolucja czarnego rynku

Christian Funk
Ekspert z Kaspersky Lab

Niezależnie od tego, o jakiej grze mówimy – karcianej, planszowej czy grze w gliniarzy i złodziei – próby oszukiwania są tak stare jak same gry. Duch rywalizacji skłania graczy do łamania reguł w celu nieuczciwego zdobycia przewagi, a ostatecznie, wygrania gry.

Gry komputerowe nie są wyjątkiem od tej reguły. Tak zwane „cheaty” występują we wszystkich rodzajach gier, pomagając niecierpliwym lub mniej wprawnym graczom szybciej wygrać grę lub osiągnąć lepszy wynik. Legendarnym przykładem cheata jest Godmode (zapewniający nieśmiertelność postaci) lub kody dla gier FPS, który oferuje wszystkie rodzaje broni wraz z nieograniczoną amunicją.

Od czasu rozpowszechnienia się taniego dostępu do Internetu internetowe gry fabularne (MMORPG) wiodą prym pod względem długości gry. W tego rodzaju grach gracz tworzy swoje własne postacie w wirtualnym świecie fantastycznym; wraz z innymi graczami na świecie może obrać sobie różnego rodzaju wrogów.

Postacie rozwijają się, lub inaczej osiągają wyższe poziomy, w zależności od czasu poświęconego na grę, zaliczonych zadań oraz liczby i typu zabitych wrogów. O mocy postaci decyduje nie tylko jej poziom i umiejętności – bardzo ważną rolę odgrywa również sprzęt. Do sukcesu na polu walki przyczynia się broń w postaci mieczy, noży, łuków, jak również zbroja. Najpotężniejsze przedmioty w grze są równie pożądane co trudne do zdobycia. Potrzeba trochę szczęścia, aby zdobyć cenny przedmiot po pokonaniu przeciwnika w walce.

Postacie są często postrzegane jako alter ego graczy. Bogactwo opcji dostępnych podczas tworzenia postaci oferuje doskonałą zabawę dla twórczych graczy. Tworzenie wyglądu i wybieranie umiejętności wspomaga proces personalizacji nowej postaci. W realnym życiu wiele osób ma słabość do drogich zegarków, okularów, ubrań i innych luksusowych przedmiotów – wirtualne postacie wyposażamy w te dobra z równą starannością. Cenne przedmioty występujące w grze, noszone lub posiadane przez postacie w grach, często są rozpoznawane przez innych graczy, dlatego są nie tylko ważne w bitwach, a również stanowią symbol statusu. Pod tym względem uniwersum wirtualne nie różni się bardzo od realnego świata – nie powinno nas zatem dziwić, że termin alter ego jest czasami stosowany w ten sposób.

Biorąc to wszystko pod uwagę, nie ma nic dziwnego w tym, że w grach online powstały w pełni rozwinięte gospodarki. W uzyskiwaniu obiektów z gier istotną rolę odgrywa handel. Waluta stosowana w grze (zwykle wirtualne złoto) jest jednym z obiektów. Postrzegana wartość i cena rynkowa przedmiotów zostają szybko ustalone, a aktualizacje gry i pakiety rozszerzające, które dodają nowe obiekty, wpuszczają świeże powietrze do atmosfery wirtualnych światów. Nowe obiekty oraz nowe sposoby ich zdobywania gwarantują brak stagnacji na rynku obiektów; twórcy gier śledzą rynek, aby zapewnić utrzymanie równowagi.


Wymiana dóbr w grze Diablo II

W przypadku World of Warcraft, najpopularniejszej gry MMORPG, przedsiębiorczy gracze zorientowali się już na samym początku, że mogą zasilić swoje dochody w świecie realnym poprzez gromadzenie złota z gier. W stosunkowo krótkim czasie można zdobyć duże ilości złota, stosując specjalne techniki; następnie można je sprzedać na aukcjach internetowych i innych stronach w zamian za prawdziwe pieniądze. To samo odnosi się do rzadkich obiektów i broni. Wprawdzie handel przedmiotami z gier w zamian za gotówkę istniał jeszcze, zanim na rynku pojawił się World of Warcraft, to właśnie ta gra podniosła poprzeczkę. Warunki zabraniają handlowania poza grą, a sankcje zwykle obejmują zamknięcie konta lub zablokowania kluczy, które są niezbędne do grania. Jednak w żaden sposób nie ukróciło to tego procederu.

Rynek ten charakteryzuje się szybkim wzrostem oraz dużym potencjałem finansowym, dlatego jedynie kwestią czasu było to, że zainteresują się nim twórcy wirusów. O ile wiele z takich przedmiotów, kont i waluty oferowanych na sprzedaż było sprzedawanych przez ich właścicieli, sporą część stanowiły nielegalne zdobycze z ataków phishingowych. W 2007 roku Siergiej Golowanow z Kaspersky Lab napisał szczegółowy artykuł o metodach wykorzystywanych przez oszustów, łącznie z tymi wykorzystywanymi do kradzieży danych dotyczących kont oraz przedmiotów w grach.

To odpowiednie miejsce, aby zatrzymać się i przyjrzeć się ewolucji oszustw związanych z grami online, a w szczególności rzucić nieco światła na występujące tu ekonomiczne współzależności. W artykule skupiłem się na grze World of Warcraft z dwóch powodów. Po pierwsze, jest to najpopularniejsza gra MMORPG. Po drugie, jest dostępna już od długiego czasu (przynajmniej jak na grę); jest to zaleta pod względem ekonomicznym.

Phishing

Wysyłanie wiadomości phishingowych to stara technika wykorzystywana przez cyberprzestępców w celu zdobycia dostępu do danych dotyczących kont. Przez lata technika ta niewiele się zmieniła. Kiedyś wiadomości phishingowe były łatwe do wykrycia ze względu na liczne błędy ortograficzne i gramatyczne. Jednak cyberprzestępcy poradzili sobie już z tą niedoskonałością i nawet świadomi kwestii bezpieczeństwa użytkownicy mogą się nabrać na dzisiejsze wiadomości phishingowe.

Obecnie cyberprzestępcy przepuszczają swoje kampanie phishingowe na dwie gry online - World of Warcraft oraz Aion. Niecierpliwie oczekiwany dodatek do gry World of Warcraft, który zostanie opublikowany już w najbliższej przyszłości, jest wykorzystywany jako przynęta w atakach phishingowych na graczy. Zrzut ekranu poniżej pokazuje e-mail wysłany rzekomo od firmy Blizzard, w którym czytamy, że rozpoczynają się otwarte testy beta i zainteresowani gracze powinni zarejestrować się, aby móc w nich uczestniczyć.

Nagłówek maila zdradza rzeczywiste źródło wiadomości. Na pierwszy rzut oka konto noreply@blizzard.com wydaje się być prawdziwe. W rzeczywistości jednak wiadomość została wysłana z prywatnego adresu e-mail:

Jak pokazuje drugi zrzut ekranu, nadawca wiadomości prosi odbiorcę o kliknięcie odsyłacza, a następnie użycie swoich danych dotyczących konta na Battle.Net do zalogowania się. Wydaje się, że odsyłacz prowadzi do prawdziwej strony Battle.net (internetowej platformy firmy Blizzard); jednak ponieważ mail został wysłany w formacie HTML, widoczny tekst ukrywa inny adres. W tym przykładzie wykorzystano prosty kod HTML; jednak w celu skierowanie użytkownika na strony phishingowe często wykorzystywany jest Javascript. Przykład ten po raz kolejny pokazuje, że trzeba przeglądać e-maile w formacie tekstowym; dzięki temu użytkownik może od razu odkryć fałszywy adres lub przekierowanie po prostu nie będzie działało.

Jeżeli użytkownik kliknie odsyłacz, zostanie przekierowany na fałszywą stronę logowania, która do złudzenia przypomina prawdziwą stronę firmy Blizzard. Gdy użytkownik wprowadzi dane logowania, zostaną one zapisane i przechwycone przez cyberprzestępców. Poza wyświetlanym krótko komunikatem o przetwarzaniu wydaje się, że po kliknięciu „Zaloguj” nie dzieje się nic, co mogłoby wskazywać na problem z działaniem tej strony.

Wszystkie inne odsyłacze prowadzą do prawdziwych stron na Battle.net.

To tylko jeden z przykładów wielu rodzajów wiadomości phishingowych. Najczęściej stosowaną metodą jest wysyłanie wiadomości ostrzegającej przed tym, że ktoś mógł włamać się na konto, i sugerującej odbiorcy, aby zalogował się w celu zabezpieczenia go. Jak można się domyśleć, strona logowania jest fałszywa. Za pomocą tej metody atakowane są prawie wszystkie gry online.

W ostatnich latach cyberprzestępcy nie ograniczali się do zwiększania liczby wysyłanych wiadomości phishingowych, ale skoncentrowali swoje wysiłki na poprawie jakości ataków phishingowych. W rezultacie znacząco poprawił się zarówno wygląd jak i treść wiadomości phishingowych.

Jednak, jak pokazuje wykres powyżej, wiadomości phishingowe atakujące gry online stanowią bardzo małą część wszystkich e-maili phishingowych. Tylko World of Warcraft (1,83%) stanowi oddzielną kategorię; inne gry MMORPG nie mieszczą się nawet na skali.

Szkodliwe oprogramowanie

Wiele wody upłynęło od czasu pojawienia się w 2002 roku pierwszego trojana stworzonego do kradzieży danych dotyczących kont (Trojan-PsW.Win32.Lmir). Mimo to podstawy pozostają zasadniczo takie same: jak tylko gracz zaloguje się do internetowej platformy do gry, aktywuje się trojan, który rejestruje wprowadzane dane. Dane są zwykle zapisywane lokalnie na maszynie ofiary, a następnie wysyłane twórcom szkodliwego oprogramowania za pośrednictwem poczty elektronicznej lub FTP. Mimo to szkodliwe oprogramowanie dla gier rozwija się w innych kierunkach.

Wiele trojanów atakujących gry jest obecnie tworzonych w taki sposób, aby przechwytywały dane uwierzytelniające podczas logowania się do kont różnych gier. Ponieważ platformy gier online są instalowane na niewielkiej części komputerów na całym świecie, atakowanie więcej niż jednej gry za jednym razem kilkakrotnie zwiększa szanse powodzenia. Tego typu szkodliwe oprogramowanie nosi nazwę Trojan-GameThief.Win32.OnLineGames; od 10 sierpnia 2010 roku Kaspersky Lab posiadał 1,2 milionów wpisów dla takich szkodników. Nie oznacza to jednak, że nie ma już szkodliwych programów, które atakują tylko jedną platformę gry: przykładem jest Trojan-GameThief.Win32.WOW, który atakuje grę World of Warcraft; Trojan-GameThief.Win32.Perforld, który atakuje Perfect World oraz Trojan-GameThief.Win32.Nilage, który atakuje Lineage.

Wykres poniżej pokazuje wzrost liczby nowych szkodliwych programów w kolejnych półrocznych okresach.

W pierwszej połowie 2008 roku odnotowano największą liczbę nowych szkodliwych programów atakujących gry online. W okresie tym wykryto ponad 608 000 nowych szkodliwych programów, prawdopodobnie z powodu trzech wymienionych niżej publikacji:

  • "Burning Crusade", rozszerzenie dla WoW (opublikowane w 2007 roku)
  • Aion
  • Perfect World (opublikowany w 2008 roku w Europie i Ameryce Północnej)

Liczba szkodników spadła w drugim kwartale 2008 roku do około 370 000, zanim ponownie wzrosła w pierwszej połowie 2009 roku. Prawdopodobnie ma to związek z publikacją kolejnego pakietu rozszerzeniowego WoW "Wrath of the Lich King“ w listopadzie 2008 roku.

Od tego czasu liczba szkodników stale spadała. W pierwszej połowie 2009 roku pojawiło się około 138 000 nowych szkodników atakujących gry, przez co całkowita liczba wpisów dla tego typu szkodliwego oprogramowania w kolekcji firmy Kaspersky Lab wyniosła 1 878 750 (6 sierpnia 2010).

Przegląd rozkładu geograficznego prób ataków przy użyciu szkodliwego oprogramowania dla gier pokazuje, że takie programy są szczególnie rozpowszechnione w Azji. Dane te są generowane przez usługę „chmury” firmy Kaspersky Lab - Kaspersky Security Network (KSN). Poniższe liczby odzwierciedlają jedynie wykryte próby ataków. To oznacza, że całkowita liczba ataków może być znacznie wyższa.


Kraj Liczba ataków dziennie
Chiny 872 676
Indie 214 848
Federacja Rosyjska 174 155
Turcja 163 584
Wietnam 156 262
Meksyk 125 476
Polska 103 031
Tajlandia 99 205
Malezja 95 227
Hiszpania 93 281

Kaspersky Lab wykrywa średnio ponad 3,44 milionów ataków przy użyciu szkodliwego oprogramowania dziennie. Chociaż World of Warcraft był przez długi czas najczęściej atakowaną grą, został wyprzedzony przez Maple Story, azjatycką grę MMORPG. Tabela poniżej pokazuje dwadzieścia najczęściej atakowanych gier w okresie od stycznia 2009 roku do marca 2010 roku.

  1. Maple Story
  2. World of Warcraft
  3. Perfect World
  4. Lineage
  5. Woool
  6. Cabal Online
  7. PlayOnline Viewer (platforma oferująca wiele gier)
  8. Mojie online
  9. Dekaron
  10. Gamania
  11. Huaxia II Online
  12. Tales Weaver
  13. SilkRoad Online
  14. Tenio
  15. Ragnarok Online
  16. Dungeon & Fighter
  17. LaTale
  18. Seal Online
  19. Reign of Revolution
  20. Lying West Online II

Lista ta potwierdza trend, który ukazuje tabela zawierająca dane dotyczące rozkładu geograficznego ataków. Wiele z gier wymienionych powyżej zostało stworzonych w Azji i wiele jest nieznanych w innych miejscach na świecie.

Analiza ekonomiczna

W ciągu ostatnich trzech lub czterech lat cyberprzestępcy zarobili ogromne zyski na sprzedaży skradzionych kont do gier i przedmiotów wykorzystywanych w grach. Szybko zorientowali się, że to co z początku stanowiło niszową działalność, w rzeczywistości było dużym źródłem dochodów.

Ponieważ cyberprzestępcy chcą osiągnąć zyski, istotne jest wybranie odpowiedniej gry jako celu ataków. Najważniejszą rolę odgrywa tu wielkość społeczności graczy. Jeżeli chodzi o wysyłanie wiadomości phishingowych i rozprzestrzenianie szkodliwego oprogramowania, grupa docelowa musi być wystarczająco duża, aby wysiłek opłacał się. Ataki na graczy nie są ukierunkowane, ale wykorzystują prawo średniej: aby atak opłacał się, musi istnieć szansa, że pewien odsetek odbiorców będą stanowili gracze konkretnej gry.

W wyborze celu ataków istotne są również względy regionalne. Niektóre gry – takie jak na przykład Maple Story – są dostępne jedynie z określonych krajów i kontynentów. Jednak liczba graczy może być wystarczająco duża, aby atak na nie opłacał się. Naturalnie podczas tworzenia widomości phishingowych należy wziąć pod uwagę język i kulturę, aby zapewnić skuteczność takich ataków, a cyberprzestępcy poczynili ogromny postęp w tej dziedzinie.

Kolejnym czynnikiem, jaki należy uwzględnić, jest gotowość graczy do zapłacenia realnych pieniędzy w zamian za wirtualne przedmioty. Jeżeli społeczność związana z pewną grą w większości nie przejawia takiej skłonności, wirtualne przedmioty nie będą przynosiły znacznego zysku. Widać to na przykładzie gry WoW: chociaż podniesiono opłatę subskrypcyjną za tę grę, po początkowych protestach gracze pogodzili się z koniecznością zapłacenia większych pieniędzy. Jeżeli gracze są skłonni zapłacić więcej, aby grać w grę, prawdopodobnie będą chcieli zapłacić za wirtualne przedmioty z gier.

Handlem wirtualnymi przedmiotami rządzą prawa ekonomiczne, podobnie jak w realnym świecie. Gdy w 2004 roku pojawił się World of Warcraft ilość wirtualnych przedmiotów dużej wartości oraz złota z gry była ograniczona. Dlatego znalezione skarby mogły być sprzedawane po wysokich cenach za pośrednictwem zwykłych kanałów, takich jak aukcje czy sklepy internetowe. W kolejnych latach wirtualne przedmioty z tej gry stały się bardziej rozpowszechnione. W rezultacie wrosła liczba dostępnych przedmiotów, podobnie jak społeczność graczy. Cena wartościowych przedmiotów pozostawała stosunkowo stała, podczas gdy potencjalny rynek rósł.

Około 2007 roku cyberprzestępcy zaczęli wykorzystywać okazję. Rynek został nasycony i rynek sprzedawców zmienił się w rynek nabywców. Sprzedawcy skradzionych przedmiotów rozpoczęli wojnę cenową w celu pozbycia się zapasów, co doprowadziło do spadku cen.

Potencjalny zysk na głowę (a tym samym motywacja cyberprzestępców) znacznie spadł. W rezultacie coraz większa liczba cyberprzestępców musiała dzielić się kurczącymi się zyskami i spadła liczba nowych szkodliwych programów w porównaniu z poprzednimi latami. Wielu cyberprzestępców odeszło od tego lukratywnego biznesu. Mimo to nadal każdego dnia obserwujemy 3,4 mln ataków przy użyciu szkodliwego oprogramowania atakującego gry, co oznacza, że gracze nadal są zagrożeni.

Rynek dzisiaj

Aby uzyskać obraz rynku i oszacować handel kontami gier, przeanalizowaliśmy sprzedaż na eBayu. Jako scentralizowana platforma handlowa eBay posiada kilka zalet w porównaniu analizą zdecentralizowanych sklepów internetowych, ponieważ obejmuje transakcje na całym świecie. Ponadto, eBay jest kanałem sprzedaży najczęściej wykorzystywanym do handlu przedmiotami związanymi z grami.

Dla celów tego badania szukaliśmy „konta na World of Warcraft” na całym świecie z zastrzeżeniem, że mają zostać wyświetlone tylko zakończone transakcje. Jako że trudno odróżnić sprzedaż legalnych kont od nielegalnych, przejrzeliśmy wszystkie oferty, aby mieć jasny obraz wielkości rynku.

Od 27 lipca do 11 sierpnia 2010 roku było dokładnie 900 ofert: średnia cena wynosiła 126,80 euro. Najniższa cena wynosiła 1 euro, najwyższa 999 euro.

Całkowity obrót w badanym okresie wynosił 114 118 euro, co daje miesięczny obrót w wysokości około 228 euro. Jeżeli założymy, że istnieje stały strumień ofert i cen na tym samym poziomie, roczne obroty wyniosą 2,74 mln euro – spora kwota, jeżeli weźmiemy pod uwagę fakt, że jest to zapłata za prawo do używania wirtualnych przedmiotów i postaci.

Nie będzie błędem, jeżeli powiemy, że w 2008 roku handel przedmiotami z gier osiągnął wysoki poziom, obroty były znacznie wyższe, szczególnie jeżeli weźmiemy pod uwagę wszystkie możliwe kanały sprzedaży.

Przyszłość

Rzut oka w przyszłość rodzi pytanie, jak będzie ewoluował ten rynek i powiązane z nim szkodliwe programy oraz phishing. Doświadczenie mówi, że ważną rolę mogą odegrać poniższe aspekty:

  • Publikacja nowych gier i rozszerzeń;
  • Rozmiar społeczności związanych z poszczególnymi grami;
  • Gotowość graczy na zapłacenie pieniędzy za wirtualne dobra.

Obecnie obserwujemy spadek aktywności cyberprzestępców w odniesieniu do gier online. Jednak w nieodległej przyszłości podziemie może się ponownie zmotywować ze względu na dwa wydarzenia

  1. Blizzard ogłosił publikację rozszerzenia "Cataclysm“ dla World of Warcraft (data publikacji nie została jeszcze ujawniona). Mimo że szczyt popularności tej gry prawdopodobnie już minął, rozszerzenie i powiązane z nim zmiany reguł, nowe przedmioty oraz postacie z pewnością tchną życie w uniwersum WoW.
  2. Diablo 3 z pewnością stworzy doskonały klimat do kolejnego dużego wzrostu aktywności cyberprzestępców. Poprzednia część tej gry, opublikowana w 2000 roku, ciągle jest bardzo popularna – grają w nią ludzie z całego świata, którzy z niecierpliwością oczekują na pojawienie się nowej odsłony ich ulubionej serii. Co ciekawe, Diablo II to pierwsza gra RPG, w przypadku której wirtualne przedmioty można było kupić za prawdziwe pieniądze.

Co zrobić, aby nasze konta, w budowanie których niejednokrotnie wkładamy wiele czasu i wysiłku, nie zostały skradzione? Efektywne i regularnie uaktualniane rozwiązanie bezpieczeństwa zapewnia ochronę przed szkodliwymi programami, które gromadzą dane o kontach i przesyłają je do cyberprzestępców. Jednak wielu graczy nie korzysta z takich rozwiązań lub wyłącza je podczas gry. Dlaczego? Ciągle pokutuje przekonanie, że aplikacje bezpieczeństwa pożerają zasoby systemowe oraz – co jest szczególnie ważne w przypadku gier online – łącze internetowe.

Program Kaspersky Internet Security 2011 oferuje specjalny Tryb Gracza. Po jego włączeniu uaktualnienia oraz zaplanowane zadania skanowania są odraczane, jednak ochrona w czasie rzeczywistym ciągle działa. Dzięki temu nic nie zakłóca gry, a komputer jest chroniony przez szkodliwymi programami.

Poza technologiami antywirusowymi program Kaspersky Internet Security oferuje filtr spamu, który wykrywa wiadomości phishingowe. Rozwiązanie blokuje także strony WWW związane ze znanymi oszustwami.

Najskuteczniejszą i niezbędną formą ochrony pozostaje jednak zdrowy rozsądek. Twórcy gier nigdy nie proszą o informacje dotyczące konta, zatem nie należy wierzyć w wiadomości e-mail, których autorzy jawnie żądają podania naszych danych. Nie należy także klikać żadnych odsyłaczy zamieszczonych w takich wiadomościach. Jeżeli e-mail wydaje się być wiarygodny, lepiej ręcznie wpisać podany w nim adres, niż klikać odsyłacz. Zdrowa dawka sceptycyzmu może zdziałać cuda i zapobiec niepotrzebnym problemom.

Kaspersky Lab
Viruslist
Czytaj także
Polecane galerie