Tutto è cominciato quando Bob Diachenko, ricercatore della società di sicurezza Kromtech, notò che nel database di un server MongoDB non aveva alcuna protezione di sicurezza. Gli analisti si aspettavano di trovarsi davanti in un archivio aziendale “dimenticato” e invece hanno trovato un file contenente un gran numero di dati di carte di credito, evidentemente raccolte in maniera non etica e la loro curiosità hanno portato a investigare e quello che hanno scoperto rappresenta un bell’esempio di quanto accade tra le pieghe di Internet.
Si trattò infatti di un complicato sistema di riciclaggio di denaro, che veniva sfruttato da ben tre giochini su iOS (iPhone e iPad), come Clash of Clans, Clash Royale e Marvel Contest of Champions, tutti e tre free to play, che consentono di comprare espansioni e potenziamenti attraverso acquisiti in-app, però vengono comprate e vendute anche su alcuni canali “paralleli” su Internet.
Il trucchetto consiste in questo: dopo aver creato diversi Apple ID usando indirizzi e-mail e aver associato dati di carte di credito rubate, i pirati (o per meglio dire, cyber-criminali) usano alcuni dispositivi iOS (con Jailbreak, ovviamente) per installare le app, acquistando espansioni e potenziamenti, per poi rivenderli nel web e incassando denaro su altri conti.
In questi tre giochi ci sono oltre 250M di utenti aggregati, generando circa 330M di dollari all'anno. Questi giochi hanno anche un mercato di terze parti molto attivo, come g2g.com, per acquistare e vendere risorse e giochi e proprio grazie ad uno di questi siti che i pirati poterono mimetizzarsi riciclando poco denaro, per non farsi sgamare subito, ma che sia ben chiaro che non si trattano siti illegali, assolutamente no! Ma ciò non toglie che non essendo illegali, è un ottimo nascondiglio per questi pirati, altrimenti se tutti i siti di quel genere lo fosserò tali, sarebbero di sicuro nel Deep Web o in qualche pagina nascosta raggiungibile tramite un link difficile da trovare, ma quello è un altro discorso.
E come diamine è possibile che non vengano rintracciati? Molto semplice: Il non sufficiente controllo e attenzione degli account da parte di Apple che dei produttori stessi dei videogiochi, non mettendo nessun strumento di controllo che impedisca l’uso di sistemi per l’acquisto automatico degli “extra”, anche tramite siti non ufficiali. La grande disponibilità dei numeri VoIP gratuiti, il modo di aggirare dei pirati in modo molto furbo e anche di più.
Molte aziende conoscono bene quel che succede e spesso cercando di prendere posizione contro lo sfruttamento dei loro giochi e del modo illegale di fare dennaro da parte dei malintenzionati. Purtroppo però per le aziende di questi giochi ed anche per la stessa Apple, stanno affrontando solo una piccola parte del problema generale e dovrebbero prendere di mira anche i truffatori su generatori di risorse illimitate, attirando le persone per poi cercare di fregargli tutto ciò che hanno, dati, account e persino i loro soldi e capire che se il trasferimento di gemme è un numero piuttosto alto, se non addirittura anormale, vuol dire che c'è qualcosa che non va e che forse si sta sfruttando un sito esterno per fare soldi in modo non lecito.
Questo vuol dire che potrà succedere anche su Android? Ovvio che sì, quindi bisognerà stare bene attento e non cadere nelle solite trappole informatiche da parte dei malintenzionati, quindi se trovate un sito che vi garantisce di avere delle risorse infinite, statene alla larga!
Un salutone e ci vediamo in un prossimo articolo!
- Fonte originale -