Мошенничество в онлайн-играх. Игра как средство наживы

«Лаборатория Касперского» публикует аналитическую статью «Мошенничество в онлайн-играх. Игра как средство наживы». Автор материала — вирусный аналитик компании Сергей Голованов.

Статья начинается с мысли о том, что в настоящее время онлайн-игры широко распространены и любимы миллионами пользователей. Игровой процесс в таких играх сводится к «блужданию» по очень красивым виртуальным мирам и выполнению каких-либо заданий, за которые игроки получают не очки, как в обычной компьютерной игре, а игровые деньги/ценности. Любой пользователь может купить онлайн-игру или скопировать ее из Сети, но чтобы играть в нее, в большинстве случаев необходимо ежемесячно приобретать абонемент. Вырученные средства идут на поддержание и развитие игровых серверов и самой игры.

Новые онлайн-игры выходят ежегодно и армия игроков постоянно растет. Вполне закономерно появление наравне с официальными игровыми серверами серверов нелегальных, пиратских. Последние очень популярны у пользователей, желающих сэкономить деньги или этих денег вовсе не имеющих (студентов, подростков): они считают, что нет смысла тратить средства на абонемент на официальном сервере, если можно играть в ту же игру на сервере пиратском, оплачивая лишь интернет-трафик. Однако, подчеркивает автор, пираты открывают свои сервера вовсе не из альтруистических соображений, а с единственной целью — нажиться на продаже игрокам виртуальных ценностей за реальные деньги. Следует отметить, что подобные продажи могут производиться также администрацией официальных серверов — это зависит от ее политики и от особенностей самой игры.

С. Голованов задается закономерным вопросом: если администраторы сервера продают игровые ценности, могут ли продавать их и сами игроки? Могут, и продают — зачастую в обход запретов администрации игровых серверов. В Интернете есть специальные сайты, где можно узнать расценки на виртуальные ценности. Разумеется, речь идет чаще всего о нелегальной купле-продаже.

Любая игровая ценность может иметь денежный эквивалент в реальном мире. Тут-то и появляются желающие поживиться. Основной задачей для них становится кража чужой виртуальной собственности. Обладая определенными знаниями, похитить ее относительно легко — система авторизации большинства игровых серверов основана на знании пароля, после ввода которого игроку предоставляется полная свобода действий в игре.

Автор статьи говорит о том, что действия злоумышленников часто пресекаются администрацией легальных игровых серверов. На пиратских же серверах (которых во много раз больше) на разбирательство с инцидентами со стороны администрации сервера игрокам рассчитывать практически не приходится.

Онлайн-игроки постоянно находятся под прицелом злоумышленников, которые применяют несколько методов для кражи игровой конфиденциальной информации:

1. Использование социальной инженерии.

В игре или на форуме игрового сервера игрокам открытым текстом предлагается отдать свои пароли стороннему лицу для получения какой-либо помощи в игре или каких-нибудь бонусов. Многие игроки наивно соглашаются на такие предложения, ища способы облегчить себе игру.

Еще одна разновидность социальной инженерии — рассылка фишинговых писем будто бы от имени администрации сервера, в которых игрокам предлагается «пройти аутентификацию» на указанной веб-странице.

Эти способы получения пароля, несмотря на свою простоту и эффективность, не могут принести большую прибыль злоумышленнику, так как на его удочку не попадутся продвинутые и, соответственно, «богатые» игроки.

2. Использование программных уязвимостей игрового сервера.

Как и в любом программном обеспечении, в коде игрового сервера есть ошибки и недочеты разработчиков — потенциальные уязвимости. С помощью них злоумышленник может получить доступ к базам данных сервера и похитить пароли либо хэши (пароли в зашифрованном виде). Известна уязвимость игрового чата, возникающая при отсутствии изолированности среды общения игроков от игровых баз данных. В результате злоумышленник может получить пароли прямо из чата.

Отдельным пунктом автор статьи выделяет способ получения чужого пароля через систему восстановления забытого пароля. Также он отмечает, что количество и «качество» уязвимостей сервера зависит от его статуса — на пиратских серверах создание специальных «заплаток» (если администраторы вообще решат устранить уязвимость) занимает намного больше времени, чем на легальных.

Использование уязвимостей игровых серверов — способ для злоумышленников весьма трудоемкий и технически сложный, поэтому широкого распространения он не имеет.

3. Использование вредоносных программ.

Эта тема раскрывается в статье наиболее широко.

Вредоносные программы, предназначенные для кражи паролей, распространяются злоумышленниками всеми возможными способами. Причем могут использоваться программы как предназначенные для похищения любых паролей, так и «заточенные» конкретно под онлайн-игры.

Согласно классификации «Лаборатории Касперского», зловреды-похитители относятся к поведениям Trojan-PSW и Trojan-Spy (перехват ввода данных с клавиатуры жертвы с последующей передачей злоумышленнику), а также к семейству Trojan.Win32.Qhost (деструктивная активность представителей данного семейства основана на изменении файла hosts, содержащего информацию о статическом соответствии сетевого адреса имени сервера). Аналогичным способом действуют и некоторые представители Trojan-Spy.Win32.Delf, устанавливающие в настройках браузера подставной прокси-сервер для подключения к серверу онлайн-игры.

Использование вредоносных программ для кражи паролей получило широкое распространение благодаря своей простоте и высокой эффективности.

Далее С. Голованов рассказывает об эволюции зловредов — похитителей паролей. Первые случаи похищения паролей к онлайн-играм были зафиксированы в 1997 году. Сначала злоумышленники использовали обычные кейлоггеры. Первым троянцем, написанным специально для онлайн-игр, стал Trojan-PSW.Win32.Lmir.a, похищающий пароли от «Legend of Mir». Его появление обеспечило возникновение в дальнейшем целой популяции подобных троянцев, мишенями которых были уже другие игры.

Следующим этапом развития стало появление Trojan-PSW.Win32.OnLineGames.a, интересующегося практически всеми популярными онлайн-играми. С появлением новых модификаций данной программы растет список игр-жертв.

Современный троянец, занимающийся кражей паролей к онлайн-игре, представляет собой динамическую библиотеку (DLL-файл), написанную на Delphi, которая автоматически присоединяется ко всем приложениям, запущенным в системе. При обнаружении запуска онлайн-игры такая вредоносная программа осуществляет перехват ввода с клавиатуры пароля, после чего отправляет пароль злоумышленнику и самоудаляется.

Помимо троянских программ для кражи паролей к онлайн-играм активно используются черви, главным преимуществом которых является способность заражать исполняемые файлы и функция самокопирования (на съемные, сетевые диски, а также по каналам электронной почты).

Вершиной творчества создателей зловредов под онлайн-игры на сегодняшний день являются полиморфный вирус Virus.Win32.Alman.a и его наследник Virus.Win32.Hala.a. Помимо заражения исполняемых файлов эти программы сочетают функции распространения по сетевым ресурсам, сокрытия в системе, бэкдора.

Вирусописатели заботятся и о самозащите вредоносных программ от антивирусов. Для этого они применяют навесные упаковщики, killav-технологии (борьба с защитным ПО) и, наконец, rootkit-технологии (сокрытие работы вредоносной программы от всех процессов в системе). Современные вредоносные программы для онлайн-игр используют сочетание всех трех технологий самозащиты.

Далее автор приводит схему атаки современного червя на онлайн-игру с целью похищения ее паролей. Злоумышленники создают программу, обладающую множественным функционалом: почтового червя, сетевого червя, p2p-червя, руткита, программ для заражения исполняемых файлов и кражи паролей. Затем производится спам-рассылка этого червя. Переход по ссылке в письме от злоумышленников может иметь весьма плачевные последствия для пользователя.

Касаясь «географии» краж паролей, С. Голованов отмечает, что более 90% всех троянских программ для онлайн-игр фактически пишутся в Китае, а 90% паролей, которые воруют эти троянцы, принадлежат игрокам южнокорейских сайтов. Спецификой российской игровой индустрии стала популярность онлайн-игр, для которых не существует отдельного клиента — все действия в них выполняются пользователями непосредственно через браузер. Благодаря обилию таких игр злоумышленники стали производить преимущественно фишинговые атаки — распространять письма со ссылками на клоны реальных игровых сайтов.

Далее в статье приводится статистика, демонстрирующая рост количества зловредов для онлайн-игр и «популярность» тех или иных игр у злоумышленников.

В заключение автор говорит о том, что любители поживиться на чужой виртуальной собственности практически неуязвимы с юридической точки зрения. С ними приходится бороться самим производителям игр, часто в сотрудничестве с антивирусными компаниями. Так, в 2004 году «Лабораторией Касперского» было заключено соглашение с разработчиками онлайн-игры «Бойцовский клуб», которое позволило предотвратить кражу паролей тысяч пользователей и продажу виртуальных ценностей на сумму в реальных долларах США, имеющую не менее четырех нулей.

Как известно, спасение утопающих — дело рук самих утопающих, поэтому сами игроки, по мнению автора, должны вооружиться благоразумием, элементарной осторожностью и — лучшим антивирусом.