Chi gioca da anni senza troppe precauzioni è convinto che a lui non capiterà mai nulla. Forse, anche leggendo queste righe, non sarà d'accordo con me. Magari ha sempre scaricato giochi piratati, cliccato su "link sospetti alla speriamo bene" o usato la stessa password per ogni account. E finché tutto fila liscio, l'illusione di essere al sicuro regge. Ma basta un attimo: un download infetto, un "sito truccato" o un attacco ben mirato possono trasformare una semplice partita in un incubo digitale.
I furbetti sanno bene come muoversi: clonano interfacce, manipolano marketplace, sfruttano ogni debolezza per rubare dati, account e persino denaro reale.
Capire come agiscono, imparare a riconoscere i segnali e adottare qualche accorgimento è indispensabile. Non serve diventare esperti di sicurezza, basta essere un po' più consapevoli, te lo dice un perfetto ignorante.
Giocare con leggerezza, sì — ma non con ingenuità . Buona lettura e... occhio alle trappole!
Riconoscere e prevenire le truffe comuni nei videogiochi online
Il panorama del meraviglioso gaming online è sempre più preso di mira da attacchi informatici, spesso condotti attraverso sistemi automatizzati progettati per sottrarre credenziali e manipolare l'identità digitale, anche grazie all'impiego di deepfake sempre più realistici e chatbot come ChatGPT di OpenAI.
Tra le truffe più diffuse ci sono il phishing mirato, la compravendita fraudolenta di oggetti digitali e l'utilizzo di sofisticate tecniche di ingegneria sociale per prendere il controllo degli account.
I cybercriminali sfruttano spesso falle nei sistemi di autenticazione per impossessarsi di profili ad alto valore, che vengono poi rivenduti nel dark web.
Questi account, una volta compromessi, possono essere riutilizzati per operazioni illecite, come il riciclaggio di denaro sfruttando le valute virtuali integrate nei giochi.
Un esempio molto chiaro arriva dalle piattaforme dedicate all'acquisto e allo scambio di oggetti virtuali, come skin, armi o scudi in-game. Spesso queste transazioni avvengono su mercati secondari non ufficiali, dove ovviamente mancano controlli adeguati, e questo può portare a fregature, come il pagamento per un oggetto che poi non viene mai consegnato.
Affidarsi invece a marketplace digitali più strutturati, come Steam, EpicNPC o G2G, riduce notevolmente il rischio, perché offrono sistemi di protezione per acquirenti e venditori.
Ci sono però anche piattaforme, come Blizzard, che vietano del tutto la compravendita o lo scambio di beni virtuali. Questa regola è specificata chiaramente nei loro termini di servizio e nel codice di condotta, e ignorarla può portare a sanzioni, compresa la sospensione del profilo.
Gli scammers trovano spesso modi per aggirare queste restrizioni, inducendo i fruitori a effettuare transazioni fuori dalle piattaforme ufficiali, promettendo sconti esclusivi o vantaggi irraggiungibili nei canali ufficiali. In questi casi, il rischio di perdere denaro o dati sensibili è altissimo.
Una truffa molto diffusa è quella delle aste fasulle, dove si fanno offerte per ottenere un oggetto di gioco, ma l'inserzionista scompare subito dopo il pagamento.
Simili raggiri si verificano anche con gli account venduti a prezzi stracciati, che vengono poi recuperati dal venditore tramite il supporto tecnico ufficiale, lasciando l'acquirente senza il proprio denaro e senza l'account.
Un altro metodo di frode sfrutta i siti di social media e le chat in-game, dove i truffatori impersonano membri dello staff ufficiale del gioco, chiedendo al consumatore di fornire le proprie credenziali per "verifiche di sicurezza" o "problematiche legate all'account". Questi trucchi psicologici sono particolarmente efficaci nei giochi con un pubblico giovane, meno esperto in materia di sicurezza informatica.
Alcuni attacchi utilizzano persino malware nascosti dietro file apparentemente innocui, come mod, skin personalizzate o software di potenziamento delle prestazioni. Installando questi file, gli utilizzatori inconsapevoli permettono agli hacker di ottenere il pieno controllo sui propri account o addirittura sull'intero dispositivo. Una volta compromesso, può essere utilizzato per ulteriori truffe, come l'invio di messaggi fraudolenti agli amici della vittima per convincerli a cadere nella stessa trappola.
Per proteggersi da queste minacce, dovrai adottare alcune precauzioni fondamentali, a partire da queste:
evita di cliccare su link sospetti ricevuti via email o chat. Per non cadere in queste trappole, ricorda sempre di verificare l'indirizzo email del mittente, non aprire allegati o rispondere a e-mail di cui non sei certo.
Non condividere mai le proprie credenziali con nessuno.
Attiva la doppia autenticazione.
Verifica sempre la credibilità di un venditore o di una piattaforma prima di effettuare acquisti o scambi, prediligendo metodi di pagamento che offrano protezione in caso di frode.
Protezione degli account e sicurezza delle credenziali
La sicurezza degli account di gioco è un punto nevralgico, considerando che le piattaforme moderne contengono dati personali sensibili e, in alcuni casi, informazioni finanziarie. Per mitigare il rischio di compromissione, devi sempre seguire i soliti consigli già sentiti: l'uso di password robuste per evitare possibili attacchi brute force, l'autenticazione a due fattori (2FA) (che può essere una password, un PIN o una risposta a una domanda di sicurezza) e il monitoraggio attivo delle attività anomale.
Relativamente nuovo, il fenomeno del credential stuffing, basato sull'uso di database di credenziali rubate, continua a rappresentare una seria minaccia, soprattutto nelle aziende. Esperti del settore stanno sviluppando algoritmi basati su intelligenza artificiale per identificare tentativi di accesso sospetti e bloccarli in tempo reale. Se vuoi proteggerti da questo tipo di cyber attack, dovrai iniziare a non usare mai più le stesse credenziali per accedere a più siti. Se hai difficoltà a gestire tutte le tue password, puoi utilizzare un buon password manager come NordPass.
Come funziona un attacco di Credential stuffing
Un attacco di Credential stuffing comincia con la raccolta di grandi quantità di credenziali rubate da precedenti violazioni (magari a seguito di massicci data breach), reperibili su forum del dark web, servizi come Pastebin o persino cercando file pubblici tramite il motore di ricerca. Questi elenchi, contenenti username, indirizzi e-mail e password spesso in chiaro, vengono poi caricati in tool automatizzati che simulano il login su siti e servizi, provando in sequenza migliaia (o milioni) di combinazioni.
Ma il metodo più facile per recuperare enormi elenchi di username e password, accessibile anche ai cosiddetti script kiddies, è usare Google con dei dorks (testi di ricerca contenenti diverse keyword da immettere nel motore di ricerca per ottenere risultati specifici) che consentono di trovare migliaia di pagine web indicizzate dai googlebot e che puntano a file di configurazioni contenenti numerosissime credenziali in chiaro... Attacchi credential stuffing: cosa sono e come difendersi dal furto di identità online.
I criminali poi sfruttano l'abitudine comune degli utenti di riutilizzare le stesse password su più account, puntando così a entrare su piattaforme ad alto valore come servizi bancari, social o come in questo caso su portali di gioco. Per aumentare l'efficacia, usano proxy per nascondere l'origine delle richieste e aggirare i blocchi, e script avanzati che emulano il comportamento umano per evitare i controlli dei sistemi di sicurezza.
Doxing e Swatting
Oltre alle truffe economiche, il gaming online è esposto a minacce dirette alla sicurezza personale, tra cui il doxing e lo swatting.
Doxing
Il Doxing (o doxxing) è una pratica malevola che consiste nella ricerca e divulgazione pubblica di informazioni personali di un individuo senza il suo consenso. L'obiettivo è spesso quello di intimidire, molestare o danneggiare la vittima. I doxer utilizzano varie tecniche OSINT e software di Scraping per raccogliere informazioni personali provenienti da fonti accessibili pubblicamente o scarsamente protette, e talvolta anche via Data Broker e hacking avanzato.
I dati carpiti sono principalmente il nome e cognome, l'indirizzo di casa o di lavoro, il numero di telefono, l'indirizzo e-mail, informazioni finanziarie (es. numeri di carte di credito) e sui familiari o amici, dettagli sull'impiego, fotografie e video personali.
La migliore difesa anche in questo caso è evitare di pubblicare online informazioni personali sensibili, usare password uniche e complesse, e se si è vittima segnalare immediatamente il doxing alle autorità competenti e alle piattaforme online coinvolte.
Swatting
Un attacco Swatting avviene mediante segnalazione falsa alle forze dell'ordine con lo scopo di causare interventi d'emergenza a casa della vittima. Il motivo potrebbe essere intimidire o minacciare qualcuno. Alcuni casi di swatting hanno avuto esiti tragici specialmente in USA, con interventi delle forze speciali (gli SWAT, in Italia l'equivalente è il Nucleo Operativo Centrale di Sicurezza (Nocs)) che hanno portato a feriti e persino vittime. Per ovvie ragioni, è considerano un reato in molti Paesi.
Nonostante sia illegale, i troll online, soprattutto nelle lobby competitive, lo usano per infastidire gli avversari. Un modo per fare i prepotenti digitali, con conseguenze che possono essere molto gravi.
Lo swatter usa tattiche di social engineering e doxing per raccogliere informazioni personali, e tecniche come lo spoofing dell'ID chiamante (caller ID spoofing), utilizzando software per camuffare il proprio numero di telefono, facendo credere ai servizi di emergenza di chiamare da un luogo vicino alla vittima, anche se si trova dall'altra parte del mondo. Quest'ultimo escamotage viene spesso usato anche dai call center truffaldini, utilizzando in maggior parte un servizio VoIP (Voice over Internet Protocol) o un telefono IP con VoIP per trasmettere le chiamate su Internet.
L'attacco swatting avviene dopo aver acquisito le informazioni personali della vittima (come l'indirizzo di casa), contattando i servizi di emergenza con una falsa segnalazione di un evento critico in corso, come una sparatoria o una situazione di ostaggio. Questo inganno induce le forze dell'ordine a intervenire all'indirizzo indicato.
Se non ha ancora l'indirizzo di casa, può procurarselo in diversi modi, a partire dall'indirizzo IP pubblico (quest'ultimo collegato al dispositivo o alla propria rete Wi-Fi), usandolo per tracciare la posizione reale attraverso uno dei tanti servizi online per collegare l'IP a un luogo fisico.
I servizi di localizzazione, presenti in molti smartphone e computer, utilizzano il GPS per determinare la posizione. Questa funzione può essere molto utile in caso di furto, permettendo di rintracciarlo. Tuttavia, l'attivazione può rappresentare un rischio quando si utilizzano piattaforme di gioco online. La condivisione della propria posizione, infatti, può esporti a swatting. Bisogna valutare attentamente quando e come attivare il servizio, soprattutto durante le sessioni di gioco.
L'uso di VPN e l'adozione di tecniche di minimizzazione dei dati personali condivisi online riduce di molto il rischio di esposizione a queste minacce. Anche se sempre più sviluppatori implementando meccanismi avanzati per la protezione dell'identità , la consapevolezza dell'utente gioca un ruolo cruciale nella prevenzione da questi tipi di attacchi.
Sicurezza nei giochi per dispositivi mobili
La crescita a valanga del gaming su dispositivi mobili ha portato alla proliferazione di attacchi informatici specifici per questa piattaforma. Malware mascherati da giochi legittimi, app fraudolente e sistemi di phishing in-app sono tra le minacce più comuni. Le applicazioni mobili rappresentano da sempre un bersaglio ideale per gli attaccanti, poiché spesso raccolgono grandi quantità di dati personali e vengono eseguite su dispositivi che non sempre ricevono aggiornamenti di sicurezza tempestivi.
Un caso degno di nota è quello dei trojan bancari integrati in alcune versioni contraffatte di giochi di successo, progettati per rubare credenziali finanziarie. Alcuni dei Trojan bancari più pericolosi sono: Hydra che prende di mira i dispositivi Android abusando delle autorizzazioni delle apps mobili per ottenere l'accesso alle credenziali finanziarie, e Dridex che include sia il Trojan bancario, sia la funzionalità di botnet. Questo utilizza WebInjects per reindirizzare i tentativi di accesso a un server controllato dall'attaccante.
Oltre a ciò, la microtransazione fraudolenta è un problema in costante crescita: il malcapitato viene indotto a effettuare acquisti ingannevoli, spesso con meccanismi che sfruttano il social engineering. Un esempio comune è la manipolazione delle loot box, pacchetti virtuali acquistati con denaro reale che promettono di migliorare l'esperienza di gioco al consumatore. In questi casi, gli sviluppatori disonesti alterano le probabilità di ottenimento, rendendo quasi impossibile ottenere gli oggetti più desiderati, nonostante gli ingenti investimenti.
Un'altra tattica fraudolenta è la vendita di oggetti virtuali falsi, spacciati per rari o esclusivi, ma in realtà repliche o oggetti modificati.
Per proteggersi davvero mentre si gioca su smartphone o tablet, la prima regola è abbastanza semplice: scarica i giochi solo dagli store ufficiali come Google Play o App Store, anche se non è una garanzia. Queste piattaforme applicano controlli molto più severi rispetto ai siti esterni, e questo riduce parecchio il rischio di incappare in app malevole. Poi dovrai sempre dare un'occhiata alle autorizzazioni che l'app richiede: se un gioco vuole accedere alla fotocamera, al microfono o alla posizione GPS senza un motivo valido, forse è meglio lasciar perdere.
Anche se un'app antivirus per dispositivi mobili non è il massimo in quanto a protezione, può aiutare a bloccare in tempo reale eventuali minacce come malware, spyware o tentativi di phishing nascosti dietro messaggi o notifiche ingannevoli.
Non dimenticare poi gli aggiornamenti: sistema operativo e app devono essere sempre aggiornati. Correggono falle di sicurezza che, se ignorate, potrebbero diventare vere e proprie porte aperte per gli hacker.
Un altro consiglio importante è quello di evitare di installare file APK provenienti da siti sconosciuti o ricevuti tramite link strani, magari su gruppi social o chat come Telegram. Anche se sembrano promettenti, nascondono quasi sempre brutte sorprese.
Infine, fidati del tuo istinto: se qualcosa ti sembra troppo bello per essere vero, probabilmente lo è. Promozioni troppo generose, premi miracolosi o link che ti chiedono credenziali fuori dal gioco dovrebbero far scattare un campanello d'allarme. Essere curiosi è parte del divertimento, ma esserlo con attenzione ti salverà .
Il miraggio del risparmio: i rischi dei giochi craccati
A prima vista, scaricare un gioco craccato può sembrarti una scorciatoia intelligente per risparmiare qualche euro e accedere liberamente a contenuti premium. Dico bene? Ma dietro quel download apparentemente innocuo si nasconde spesso una realtà ben più pericolosa. I giochi modificati o piratati vengono distribuiti da fonti non ufficiali, e non è raro che al loro interno si celino codici malevoli progettati per infettarti il dispositivo non appena il file viene eseguito.
Il rischio più immediato è quello dell'installazione di malware per aprire backdoor che consendono agli hacker di accedere e controllare il dispositivo da remoto, o diffondere cryptominer per sfruttare le capacità computazionali del tuo PC da gaming.
Ci sono stati numerosi casi documentati di giochi craccati contenenti i temuti ransomware, programmi che bloccano completamente l'accesso al dispositivo e chiedono un riscatto per restituirti i dati. Altri includono spyware capaci di registrare ogni tocco sullo schermo o addirittura di attivare fotocamera e microfono a tua insaputa.
A tutto questo si aggiunge il fatto che, scaricando giochi craccati, si rinuncia automaticamente agli aggiornamenti ufficiali, alle patch e al supporto tecnico. Questo significa non solo esporsi a falle già conosciute, ma anche non poter mai contare su un aiuto in caso di problemi. E se un gioco online prevede l'accesso al profilo, è molto probabile che questo venga compromesso, portando anche alla perdita di progressi, oggetti rari e denaro reale investito nel tempo. Ma chi ci perde di più e sempre il creatore del gioco.
Come viene craccato un gioco?
Un hacker dei crack di videogiochi inizia acquisendo il gioco target, spesso tramite canali non ufficiali. Utilizza strumenti di Reverse engineering (in informatica), come IDA Pro o Ghidra (una suite (SRE)), per analizzare l'eseguibile e identificare le routine di protezione antipirateria (DRM). Tramite debugger come x64dbg, modifica il codice per disabilitare o bypassare queste protezioni.
Successivamente, inietta codice dannoso all'interno dell'eseguibile modificato. Questo può avvenire tramite tecniche di code injection o tramite la modifica di file di libreria dinamica (DLL). Il malware, che può variare da trojan a ransomware, viene integrato in modo da essere eseguito all'avvio del gioco.
Alla fine, il gioco così modificato e infetto viene ricompilato e impacchettato, spesso utilizzando offuscatori come Themida o UPX (principalmente un "advanced executable file compressor") per rendere più difficile l'analisi. La distribuzione avviene tramite siti di download illegali, forum o reti peer-to-peer, sfruttando l'ingegneria sociale per indurre gli utenti a scaricare il file infetto.
Messaggi del tipo [Nome del gioco] - DOWNLOAD GRATUITO
Qui puoi scaricare il gioco gratuitamente!
Ottieni [Nome del gioco] con tutti i DLC e i contenuti extra sbloccati!
Clicca qui per il download immediato!
Ti suona familiare questo tipo di annuncio?
Qui di seguito trovi alcuni esempi di giochi noti e sandbox che, nelle loro versioni craccate o modificate, sono stati associati alla diffusione di malware pubblicati sui siti torrent a partire da settembre 2024:
Grand Theft Auto V (GTA V), The Sims 4, NBA 2K19, Pro Evolution Soccer 2018, BeamNG.drive, Garry's Mod, Dyson Sphere Program, Universe Sandbox, Plutocracy, PirateFi, quest'ultimo caricato direttamente su Steam contenendo malware progettato per rubare cookie del browser e dati personali degli utenti.
Per approfondimenti: https://securelist.com/starydobry-campaign-spreads-xmrig-miner-via-torrents/115509/
Perché i giochi craccati piacciono così tanto anche agli Hacker?
Perché sanno che gli utenti disattivano gli antivirus per evitare falsi positivi, rendendo più semplice l'infezione.
Scaricano senza pensarci due volte file da fonti sconosciute o erroneamente ritenuto sicuro.
Non aggiornano regolarmente i sistemi di sicurezza, lasciando falle sfruttabili.
La sicurezza negli eSport
Anche il mondo degli eSport non è esente da pericoli, con la sua crescente popolarità e i suoi premi milionari è bersaglio di attacchi informatici. Gli attacchi DDoS, il cheating (imbrogli nei giochi online) e la protezione dei dati dei giocatori sono solo alcune delle sfide che le organizzazioni di eSport devono affrontare.
Una delle minacce più comuni è rappresentata dagli attacchi DDoS, pensati per bloccare la connessione dei giocatori durante partite ufficiali o match importanti. Bastano pochi secondi di lag o disconnessione per compromettere l'esito di una competizione.
Viene spesso utilizzato per sabotare un avversario o per manipolare i risultati, specialmente nei tornei con premi in denaro.
Un caso significativo si è verificato nel 2015, durante un torneo di Dota 2 con un montepremi di 18 milioni di dollari, che fu temporaneamente interrotto a causa di un attacco di questo tipo.
Con una connessione VPN puoi proteggere le partite e scongiurare il rischio di eventuali attacchi DDoS, i quali verranno automaticamente indirizzati verso l'IP del server VPN, e non verso il tuo.
C'è poi il problema del cheating, un fenomeno che può assumere forme diverse, dai semplici script automatizzati fino a software estremamente avanzati che manipolano il comportamento del gioco in tempo reale. Oltre a danneggiare l'integrità del gioco, l'uso di cheat rappresenta anche un rischio tecnico, perché molti di questi programmi provengono da fonti non verificate e possono contenere malware o spyware nascosti.
Anche la privacy dei giocatori professionisti è a rischio. Gli eSport richiedono una presenza costante online, spesso su più piattaforme. Questo aumenta l'esposizione a tentativi di phishing, furti di identità e come visto nel capitolo dedicato perfino doxing, ossia la diffusione pubblica di informazioni personali con lo scopo di intimidire o danneggiare la vittima, e in alcuni casi estremi arrivano fino allo swatting.
Per questo motivo, le organizzazioni più serie che gestiscono tornei di eSport investono sempre di più in sicurezza informatica, implementando sistemi di protezione dei server, strumenti anti-cheat professionali e protocolli per la tutela dei dati personali. Ma non basta: anche i singoli giocatori devono fare la loro parte, proteggendo i propri account seguendo tutte le best practices trattare finora.
Per oggi è tutto! Spero che questo articolo ti siano stato utile. Se hai qualche domanda o vuoi condividere la tua esperienza, lascia un commento qui sotto.
Non dimenticare di condividerlo con i tuoi amici e parenti, così anche loro potranno proteggersi meglio.
Frodi nel gaming online: Un'analisi delle truffe più diffuse nel settore dei videogiochi online e consigli su come evitarle.
Cyber Security 360 - https://www.cybersecurity360.it/nuove-minacce/frodi-nel-gaming-online-le-piu-diffuse-e-come-starne-alla-larga/
Malware nei trucchi per videogiochi: Un avviso riguardante malware nascosti in cheat per giochi popolari come Minecraft e Roblox, che prendono di mira soprattutto i minori.
McAfee - https://www.mcafee.com/blogs/it-it/internet-security/allarme-truffa-il-malware-nei-trucchi-per-minecraft-e-roblox-prende-di-mira-i-minori/
Truffe durante il lancio di console e giochi: Esempi di truffe comuni durante il lancio di nuove console e giochi, con consigli su come evitarle.
CyberGhost VPN - https://www.cyberghostvpn.com/it/privacyhub/avoid-switch-2-scams/
Gaming e cyber crimine: Un approfondimento sui pericoli più frequenti nel gaming online e consigli su come difendersi.
Cyber Security 360 - https://www.cybersecurity360.it/nuove-minacce/gaming-e-cyber-crimine-i-pericoli-piu-frequenti-e-cosa-sapere-per-difendersi/
Truffe sui videogiochi online: Informazioni sui furti di identità sulle piattaforme di videogiochi e consigli per proteggersi.
La Legge per Tutti - https://www.laleggepertutti.it/434046_truffe-sui-videogiochi-online-come-difendersi
Hate e molestie nei giochi online 2023: Un rapporto che evidenzia come milioni di giocatori continuino a subire molestie e odio durante le loro sessioni di gioco online.
adl.org - https://www.adl.org/resources/report/hate-no-game-hate-and-harassment-online-games-2023
Nessun commento:
Posta un commento