NCKB SK-CERT odporúča klásť dôraz na bezpečnosť aj pri hraní on-line hier

Súčasná situácia, súvisiaca so šírením vírusu COVID-19, spôsobila, že mnoho ľudí muselo zmeniť svoje každodenné návyky a väčšinu času trávia doma. Veľa ľudí sa venuje rôznym záľubám, ktoré môžu byť momentálne obmedzené a preto ľudia hľadajú spôsoby, ako využiť svoj voľný čas. Jedným zo spôsobov, ako sa zabaviť, je samozrejme aj hranie počítačových hier, špeciálne tých, ktoré môže hrať niekoľko hráčov naraz medzi sebou bez nutnosti fyzickej blízkosti – tzv. on-line počítačových hier.

Útočné aktivity smerom k hráčom počítačových hier sú staré ako hranie samotné. Avšak nárast hráčov v kybernetickom priestore[1] zvyšuje šance pre útočníkov získať citlivé údaje, špecifické pre prostredie on-line hrania.

Spôsoby útokov  

Existuje hneď niekoľko spôsobov útokov, ktorými sa snažia útočníci získať citlivé údaje obete. Buď sa jedná o priamy útok na hráča prostredníctvom rôznych útočných techník alebo o útok, ktorého cieľom je získať dáta o hráčoch nepriamo.

Krádeže účtov

Najčastejším cieľom útočníkov je získanie prístupu k účtu obete. Takýto účet môže obsahovať hneď niekoľko cenných informácií – osobné údaje, ale aj údaje o platbách a takisto aj uložené informácie o kreditných kartách. Cennými sú takisto aj hry a zrealizované transakcie, ktoré do hier pridávajú dodatočný obsah (tzv. mikrotransakcie). Najmä vášniví hráči majú nakúpené veľké množstvo hier a prémiového obsahu, ktorý môžu po odcudzení konta útočníci veľmi ľahko predať, prípadne využiť údaje z účtu vo svoj vlastný prospech (najmä údaje platobných kariet).

Spôsoby, ktoré útočníci využívajú sú rôzne – najčastejšie prostredníctvom phishingových mailov, ktoré v sebe obsahujú škodlivý kód alebo princípmi sociálneho inžinierstva, napríklad aj prostredníctvom nástrojov samotnej hernej platformy, ako je herný chat, súkromné správy a podobne.

Kompromitácia herných platforiem

Útočníci sa k citlivým údajom hráčov dokážu dostať aj iným spôsobom ako ich priamou kompromitáciou. Na trhu s počítačovými hrami existuje hneď niekoľko desiatok platforiem, ktoré ponúkajú hry a herný obsah. Aj tieto sa môžu stať cieľom útočníkov, ktorých pri tom najviac zaujímajú práve používateľské dáta. V podstate stačí jeden komplexný útok a útočníci sa môžu dostať k niekoľkým tisícom účtov, ktoré môžu následne speňažiť alebo zneužiť citlivé alebo platobné údaje vo svoj prospech.

Spoločnosť Nintendo nedávno priznala[2], že 160 000 herných účtov z ich hernej platformy bolo kompromitovaných. Udialo sa tak po masívnom útoku, ktorý mal za následok únik identifikačných prihlasovacích čísel a hesiel do herných účtov používateľov, pričom podľa spoločnosti mohli uniknúť aj údaje o prezývke používateľa, dátum jeho narodenia, krajina pôvodu a e-mailová adresa. Nintendo potvrdilo, že v prípade niektorých účtov prišlo aj k neoprávneným nákupom hier a herného obsahu. Spoločnosť resetovala heslá všetkých kônt a vydala pre používateľov bezpečnostné odporúčania a zároveň prisľúbila, že v prípade neoprávnených nákupov budú tieto stornované a peniaze používateľom vrátené.

To však nebol prvý prípad takéhoto útoku na hernú platformu. V roku 2011 bolo na platforme PlayStation Network kompromitovaných okolo 77 miliónov herných účtov, pričom útok znemožnil používateľom používať túto platformu. Spoločnosť Sony bola donútená vypnúť PlayStation Network na 23 dní a zároveň priznala, že zo všetkých kompromitovaných účtov unikli osobné údaje ich majiteľov. Tento útok sa považuje za jeden z najväčších únikov dát v hernom priemysle.

Na Vianoce roku 2014 došlo k ďalšiemu útoku, ktorý bol zameraný na platformy Sony PlayStation a Microsoft Xbox. Išlo o masívny DDoS útok na obe platformy, ku ktorému sa prihlásila skupina Lizard Squad. Používatelia sieťových služieb sa nedokázali pripojiť na herné servery, pričom tento výpadok trval niekoľko dní. Následne v septembri 2015 došlo k útoku na obe platformy, pričom bolo kompromitovaných 2 a pol milióna používateľských účtov.

Falošné weby a falošné ponuky hier

Nárast záujmu o hranie počítačových hier môže vyústiť aj do vzniku falošných webstránok, ktoré ponúkajú lacnejšie hry alebo prémiový obsah, avšak ich účelom je krádež osobných a platobných údajov obete. Používateľovi po zaplatení síce môže dôjsť napríklad aktivačný kód pre hranie hry, avšak ten môže byť falošný, expirovaný alebo už použitý iným používateľom. Útočník už však disponuje osobnými údajmi obete alebo informáciami o platobnej karte, ktoré môže ďalej zneužiť alebo predať.

Falošné weby s hrami a herným obsahom vznikajú nie len ako výsledok zvýšeného záujmu hrania hier, ale často súvisia aj s inými udalosťami – napríklad s vydaním nových verzií obľúbených hier, s predstavením nových herných konzol alebo v súvislosti s globálne organizovanými vypredajmi (napríklad Black Friday, Cyber Monday a poodbne.)

Útoky na používateľov

Pri hraní on-line prichádza aj k inému druhu útokov, ktoré nemajú za cieľ získať od používateľa citlivé údaje. Takisto ich nevykonávajú ani skúsení útočníci. Ide o útoky, ktoré smerujú priamo k používateľom s cieľom ich zastrašiť, znechutiť im hru alebo inak na nich psychicky vplývať. Výhodou pre útočníka je vysoká miera anonymity, ktorú dokáže v on-line hraní dosiahnuť. Najčastejšou formou útoku je určite kyberšikana, ktorá je špecificky pri on-line hraní prítomná pri mladších hráčoch. Šikana v hre môže mať podobu buď slovných útokov prostredníctvom vstavaných komunikačných nástrojov (herný chat, funkcie na hovorenú komunikáciu priamo v hre), alebo neférového správania sa priamo v hre. Útočník tým chce dosiahnuť u obete rôzne ciele – od nechutenstva k hraniu až po poníženie pred ostatnými hráčmi. Takisto jedným z prejavov kyberšikany môže byť vydieranie, ktoré má v on-line hraní podobu „vymáhania“ herných predmetov od obete, ale môže ísť aj o donútenie k reálnym platbám za hry a herný obsah.

V hernom on-line svete je často prítomný aj tzv. cyberstalking – prenasledovanie obete. Najčastejšie útočník neustále sleduje aktivitu obete (čo a kedy hrá, s kým hrá a podobne) alebo sa neustále dožaduje pozornosti. Ak stalker (prenasledovateľ) nie je uspokojený vo svojich potrebách, môže jeho aktivita prerásť napríklad do kyberšikanovania.

Hráči pri on-line hrách často používajú komunikačné nástroje, aby sa pri hraní mohli zabaviť, ale aj koordinovať alebo si radiť. V týchto komunikačných nástrojoch je často prítomný tzv. Bombing. Ide o narúšanie konverzácií hráčov medzi sebou za účelom vyrušovať ich pri hraní alebo im znechutiť hranie nezmyselnými aktivitami, ako napríklad púšťaním hlasnej hudby do mikrofónu, nadmerným hlukom a podobne.

Podvádzanie (cheating) je staré ako hranie samo. On-line hranie nie je výnimkou a existuje mnoho hráčov, ktorí znepríjemňujú iným hru tým, že podvádzajú a využívajú zakázané nástroje, ktoré ich zvýhodňujú pred inými hráčmi. Takýto spôsob podvádzania nie je len útokom na hráčov, ale aj na reputáciu samotnej hry. Akonáhle je v hre viacero hráčov, ktorí podvádzajú, ostatní hráči hru prestávajú hrať a výrobca hry tak utrpí nie len finančnú, ale aj reputačnú stratu.

Odporúčania

Na základe spôsobov útokov, ktoré sú popísané vyššie, Národné centrum kybernetickej bezpečnosti SK-CERT vydáva nasledujúce odporúčania, ktoré slúžia na zníženie rizika útokov počas on-line hrania a na zmiernenie dopadov takýchto útokov:

  • Prihlasovacie údaje do svojho herného konta s nikým nezdieľajte
  • Neklikajte na podozrivé prílohy a linky v e-mailoch
  • Na súkromné správy alebo správy v hernom chate, ktoré vás vyzývajú na poskytnutie vašich prihlasovacích údajov alebo iných citlivých údajov nereagujte
  • Nastavte si na prihlasovanie do svojho konta dvojfaktorovú autentifikáciu (ak je to možné, vyhnite sa SMS autentifikácii)
  • Na prihlasovanie do svojho konta používajte zložité a ťažko uhádnuteľné heslá
  • Ak máte rôzne herné kontá, na každé z nich používajte iné heslo
  • Nezdieľajte vo svojom profile nepotrebné osobné údaje
  • Pri online hraní používajte prezývky, nezdieľajte s ostatnými hráčmi osobné údaje ako meno, váš vek alebo adresu vášho pobytu
  • Údaje o platobných kartách si neukladajte do profilu svojho konta, pri nákupoch používajte tzv. jednorazové virtuálne platobné karty
  • Nakupujte hry a herný obsah iba prostredníctvom oficiálnych obchodov herných platforiem alebo cez dôveryhodné stránky. Ak chcete vedieť, ako rozoznať dôveryhodný obchod, prečítajte si náš článok o on-line nakupovaní: https://www.sk-cert.sk/sk/odporucanie-nakupy-pocas-black-friday-a-cyber-monday/index.html
  • Ak na vás niekto slovne útočí alebo vám inak znepríjemňuje hru, využite herné nástroje ako nahlásenie používateľa alebo jeho zablokovanie, aby ste predišli ďalšiemu takémuto správaniu
  • Odporúčame rodičom, aby využívali nástroje rodičovskej kontroly pri online hraní – kontrola účtu, kontrola transakcií a podobne

Zdroje:

[1] https://www.forbes.com/sites/paultassi/2020/03/15/as-coronavirus-keeps-everyone-home-steam-is-breaking-concurrent-player-records/#32685c8762b8

[2] https://www.nintendo.co.jp/support/information/2020/0424.html


« Späť na zoznam