روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ اکانت Battle.net برای مهاجمین سایبری حکم طلا را دارد. آنها میتوانند از این اکانت برای دسترسی به گیمها و نیز شخصیتهای خریداریشده و ارز و آیتمهای درونبازی استفاده کنند. اگر بازیکنی بدرستی اکانت خود را تنظیم کرده و بعدش با تیم پشتیبانی فنی تماس گرفته باشد، باری دیگر میتوانند کنترل اکانت را در دست گرفته و غنائم مجازیِ به یغما برده را بازگرداند. با این همه، مهاجمین همچنان میتوانند دردسر برای دارندگان این اکانت درست کنند؛ از این رو بهتر است جلوی هک شدنهای آتی را از همان اول کار گرفت. در ادامه قصد داریم نمونهای از حمله به اکانت Battle.net را با استفاده از فیشینگ درونبازی در بازی کلاسیک World of Warcraft خدمتتان شرح دهیم. پس ما با همراه بمانید.
نقشه سرقت اکانت «Bizzard»
مشکل نسبتاً شایع در نسخهی اصلی بازی WoW همیشه فیشینگ بوده است. با این حال، تقریباً هرگز در نسخه کلاسیک این بازی (دنیای وارکرفت) به چنین مشکلی برنخوردیم- البته تا زمانیکه جنگجویی به نام Bizzard (اصطلاحاً مسترِ بازی) به یکی از اعضای تیم کسپرسکی این پیغام را داد:
“[Blizzard Entertainment] GM: Violation: Economic exploit. Please visit: [www.blizzardwarcraft.com]. Otherwise, we will suspend your account.”
اینکه بگوییم یک جای کار این پیغام میلنگید به نوعی دستکم گرفتن شرایط است؛ پر واضح بود حقهای در کار است. برای مبتدیها باورش سخت است که یک مستر واقعیِ گیم در Blizzard Entertainment با استفاده از نام شخصیتی مشابه اما نه همسان با نام شرکت به تخفلاتی چون «اکسپلویتهای اقتصادی» پاسخ دهد و به بازیکنها بگوید باید از فلان سایت دیدن کند. این را هم بگوییم که بازیکن مذکور اصلاً تخفلی نکرده بود.
معمولاً چنین پیامهای نادیده گرفته میشود اما این بار بازیکن کنجکاو شد و تصمیم گرفت از این نقشه سر درآورد. ابتدا با استفاده از سرویسهای whois لینک را مورد بررسی قرار داد زیرا متوجه شده بود که دامنهی مورد نظر جزو دامنههای متعلق به Blizzard (از جمله blizzard.com، battle.net یا worldofwarcraft.com) نبود. علاوه بر این، شک کردن در مورد قانونی بودن سایت به مثابهی عدم هرگونه گواهی امنیتی بود. همانطور که شک میرفت، دامنهی blizzardwarcraft.com که Bizzard قدرتمند از او خواسته بود بدان سر بزند کمتر از یک هفته بود که ساخته شده بود. تازه، مهاجمین حتی زحمت پوشش دادن حقههای خود را هم نکشیده بودند: این دامنه توسط فردی از استانِ آنهوئیِ کشور چین ثبت شده بود؛ آن هم از طریق اداره ثبت دامنهای به نام Hongkong Domain Name Information Management در هنگکنگ.
با این وجود، این سایت فیشینگ به نظر معقول و قانعکننده میرسید. ظاهرش کاملاً شبیه به لاگین پیجِ قانونیِ eu.battle.net بود. اما برچسب Security Check–فرمتشده با فونت و رنگی غلط – کمی تصورات را خراب میکند. و گزینههای لاگین فیسبوک و گوگل هم کار نمیکنند (همانطور که خیلیهایتان ممکن است دلیلش را حدس زده باشید). اما تقریباً تمام لینکهای دیگر روی این پیج کلاهبرداری به سایتهای واقعی Blizzard منتهی میشوند. با این تفاسیر خاستگاهشان ثابت نیست: برخی اروپاییاند و بقیه آمریکایی. بازیکن تصمیم میگیرد تحقیقات خود را بیشتر پیش ببرد و ببیند دقیقاً مهاجم چطور خواسته اکانت او را سرقت کند. او درست روی صفحه جعلی روی لینک Create a free Blizzard Account (که درست هم بود؛ لینک واقعاً به سایت اصلی Blizzard منتهی شد) کلیک و برای اکانتی جدید ثبتنام کرد. او که خودش را برای این امتحان آماده کرده بود پسورد خود را روی اکانت تازهساختهشده به دست مهاجمین سپرد. بعد از ورود اطلاعاتش روی صفحه جعلی، سازندگان سایت از وی خواستند تا برای امنیتدهی به اکانت جدید با اجرای بررسی سریعی، به آنها کمک کند. برای انجام این کار، او مجبور شد کد تأیید اعتبار ارسالی از ایمیل را وارد کند. این کد از آدرس واقعی Blizzard میآمد. البته تا حدی این مرحله پیشبینی میشد و به محض اینکه اطلاعات محرمانه روی صفحه تقلبی وارد شد، مهاجمین فوراً آنها را روی سایت واقعی وارد کردند. اما همچنین به کد تأیید اعتبار نیز نیاز داشتند. Blizzard کد را به ایمیل او فرستادند اما مهاجمین باید ابتدا آن را از همکار ما میگرفتند. البته که او داشت بازیشان میداد و کد را روی صفحه جعلی وارد کرد. افزون بر این، (به دلایلی) مهاجمین از او خواسته بودند سوال محرمانهای را روی صفحه نهایی جواب دهد. حقیقت این است که –وقتی او ثبتنام کرد- هیچ سوال محرمانهای در کار نبود. البته جای نگرانی هم نبود: از قبل پاسخ به آنها داده شده بود.
به همکار ما اطلاع داده شد که با موفقیت این بخش تأییده را پشت سر گذاشته است. همانطور که ممکن است انتظار داشته باشید، همزمان شخص دیگری به اکانت جدید او لاگین کرده بود (آدرس آیپی آنها را در براندنبورگ آلمان قرار داده بود اما بعید است مهاجم در واقع از آنجا کانکت شده بوده است؛ احتمال دارد آنها داشتند از پروسکی سرور، ویپیان یا سایر ابزار ماسکه کردنِ مجازی استفاده میکردند). اولش کسی از طریق اپ Battle.net لاگین کرد و بعد از رابط Web interface وارد عمل شد. فرض میرود این اتفاق از این رو رخ داد که هکرها هیچ شخصیت دنیای وارکرفتی در اکانت Battle.net همکار ما پیدا نکردند و تصمیم گرفتند با استفاده از نسخه وبی اکانت را دوباره چک کنند.
بعد از حدود دو ساعت و نیم، Blizzard نوتیفیکیشنی ارسال کرد با این مضمون که پسورد همکار ما به دلیل فعالیتی مشکوک ریست شده است. ظاهراً با توجه به دفاعهایی که از سوی Battle.net ارائه شد مشخص گشت فرد دیگری به اکانت او دسترسی پیدا کرده بود و آنها هم سعی داشتند از او در مقابل متجاوزین و متخلفین محافظت کنند. همانطور که مستحضر هستید، Blizzard در حفظ امنیت کاربران خود موفق بوده است.
چطور نگذاریم قربانی حملات فیشینگ در دنیای وارکرفت شویم؟
این آخرین حمله فیشینگ به نسخه کلاسیک بازی دنیای وارکرفت نخواهد بود. برای پایین آوردن میزان خطر فعالیتهای سر زده از سوی مهاجمین و نیز امنتر کردن این گیم نه تنها برای خود که همچنین برای سایرین توصیه میکنیم:
- در دنیای وارکرفت، آیکون خاصی همیشه کنار اسم مسترهای بازی پدید میآید (شبیه به BLIZZ به رنگ آبی). اگر این آیکون را نمیبینید پس طرف حسابتان مستر بازی نیست!
- اکسپلویتهای اقتصادی و نیز سایر تخلفات قوانین بازی همیشه به مسدود شدن اکانت شما منجر خواهد شد. اینها دلیل موجهی برای «بررسی امنیتی» اکانت شما نیستند.
- بعید است مقامات بازی لینکی را برای شما ارسال کنند که در نهایت سر از منابع طرفسوم درآورید. آنها از قبل ابزارهای لازم برای مبارزه با چنین تخلفاتی را دارند. به منظور تأیید مالکیت اکانت خود فقط کافیست پسورد خو را ریست کنید و هر که را که از اکانت شما استفاده میکرده بیرون بیاندازید.
- اگر بازیکنی با چنین نوع درخواستی خواست با شما تماس برقرار کند رفتار نامناسب او را با استفاده از فرم battle.net گزارش دهید.
- بهتر است برای امنیتدهی به اکانت خود توصیههای Blizzard را دنبال کنید. آنجا همهچیز روشن و واضح توضیح داده شده است: چطور رمزعبور و احراز هویت دو عاملی امن بسازید، چرا باید نرمافزار محافظتی داشته باشید، چرا آپدیتهای اپ مهم هستند و چطور باید در راستای سلامت پسورد تلاش کرد.
تا آنجا که به نرمافزارهای محافظتی مربوط میشود، ما استفاده از راهکار امنیتی را که کارش محافظت از شما در برابر جاسوسافزار، شناسایی اقدامات فیشینگ و ذخیره امن پسوردهاست توصیه میکنیم. حالت اختصاصی گیمینگ به شما اجازه میدهد بدون اینکه عملکرد گیم را فدا کنید از دستگاه خود مراقبت نمایید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
