Игроки онлайн-шутера Fortnite теряют учетные записи из-за атак взломщиков в возрасте от 14 до 17 лет. Перепродажа аккаунтов с редкими внутриигровыми аксессуарами приносит злоумышленникам тысячи долларов в неделю.

По словам журналистов BBC, им удалось пообщаться с 20 молодыми людьми, которые таким образом зарабатывают на геймерах. Для взлома они применяют подстановку учетных данных (credential stuffing), пытаясь авторизоваться в игре с помощью логинов и паролей, найденных в слитых базах других ресурсов.

Эта техника эксплуатирует нежелание пользователей придумывать уникальные коды доступа для каждого сайта. Именно этим credential stuffing отличается от простого подбора паролей, когда злоумышленник идет по словарю.

Один из героев материала, 14-летний житель Великобритании, рассказал, что занялся взломом после того, как сам потерял свой аккаунт. Геймер успел потратить около 50 фунтов стерлингов (чуть больше 4,3 тыс. рублей) на коллекцию скинов для своего персонажа, когда получил email-уведомление о смене пароля и подключении двухфакторной аутентификации. После этого вернуть учетную запись оказалось невозможно.

Молодой человек поделился несчастьем в Twitter, где с ним связались продавцы похищенных аккаунтов. Он увидел, что всего за 25 пенсов (около 20 рублей) можно приобрести персонажа с более впечатляющими внутриигровыми богатствами, чем были у него. Моральная сторона покупки украденной записи героя не смутила — по его словам, он видел, что так поступают многие геймеры, а для других это становится источником заработка.

Вскоре молодой человек сам решил попробовать себя в этом деле. Он связался со взломщиками, которые познакомили его с основными приемами и инструментами, указали, где брать ПО для автоматического подбора учетных данных. Всего за один день злоумышленник смог угнать более 1000 аккаунтов, после чего, по его словам, не возвращался к этому занятию.

Сейчас герой статьи стал посредником в цепочке перепродажи, предлагая украденные учетные записи покупателям. Уже в первые недели это принесло ему 1500 фунтов стерлингов (около 130 тыс. рублей), которые он потратил на новый велосипед и видеоигры.

Родители героя знают об источнике его доходов, но не осуждают его за это. В то же время британский закон о неправомерном использовании компьютеров (Computer Misuse Act) предусматривает за подобные деяния до двух лет тюрьмы.

Многие взломщики обвиняют самих пользователей, которые не заботятся о собственной безопасности. Кроме того, попасться за кражей игрового аккаунта фактически невозможно — как рассказал BBC 17-летний злоумышленник из Словении, эту область «никто не проверяет».

Собственный магазин похищенных учетных записей за семь месяцев принес ему 16 тыс. фунтов стерлингов (чуть меньше 1,4 млн рублей). В подтверждение своих слов молодой человек прислал журналистам скриншоты PayPal- и криптокошельков.

Правоохранительные органы призывают компании взять безопасность пользователей в свои руки.

«Мы бы хотели, чтобы игровая индустрия активнее сотрудничала с законом и отслеживала ранние признаки атак на своих платформах, — заявил глава отдела по вопросам компьютерных игр Национального агентства по борьбе с преступностью (National Crime Agency, NCA) Итан Томас (Ethan Thomas). — Это поможет вернуть [молодых преступников] на путь добропорядочности».

Это не единственная угроза, с которой сталкиваются игроки Fortnite. Ранее злоумышленники уже атаковали их с помощью вредоносных игровых аддонов и поддельных мобильных приложений.

Категории: Хакеры