Индустрия онлайновых развлечений приносит огромные прибыли не только своим создателям, но и киберпреступникам. О том, когда появились первые угрозы в онлайн-играх, сколько их сейчас и каковы успехи в борьбе с ними, в интервью Infox.ru рассказал вирусный аналитик «Лаборатории Касперского» Кристиан Функ.
-- С чего вообще началась история преступной деятельности в сфере онлайн игр?
-- Первый зарегистрированный нами случай кражи игрового аккаунта датируется 2002 годом. Это был троянец, ориентированный на пользователей ролевой игры Legend of Mir. Он был довольно примитивен, написан на языке Delphi, но очень быстро попал в сеть и был взят на вооружение другими киберпреступниками и пользователями, которым не хотелось играть в Legend of Mir по правилам.
-- Какова была цель киберпреступников, взломавших Legend of Mir?
-- Следует сказать, что сейчас у большинства киберпреступников один единственный мотив – получение денег. Но в 2002 году об этом речи еще не шло. Те мошенники, по большому счету, и не были преступниками – это были люди, которые, вероятно, сами играли в эту игру и хотели скорейшим образом достигнуть в ней прогресса. Так называемые «читеры» (игроки, играющие не честно. – Infox.ru), просто несколько более умные, чем средний представитель игрового сообщества. Они похищали «прокачанные» аккаунты у других игроков и использовали их, чтобы играть самостоятельно.
-- В 2002 году киберпреступления в играх были скорее хулиганством, но ведь теперь все иначе? По Вашим оценкам, много ли денег на этом рынке? И как много?
-- Непростой вопрос, на который я сам пытался найти ответ. В ходе своего расследования я ввел в поисковую систему интернет-аукциона eBay запрос «аккаунты World of WarCraft». В поисковых результатах я получил список успешно проданных аккаунтов за последние 30 дней. Общая сумма, на которую были проданы аккаунты, составила более 220 тысяч евро. Общее количество единиц товара (аккаунты и виртуальные предметы из World of WarCraft) составило более 1900 штук. Все это – всего за один месяц. Конечно, нужно иметь ввиду, что на продажу выставляют не только похищенные аккаунты, но тем не менее, на наш взгляд, данный пример может дать представление о размерах этого теневого рынка. Если взять среднюю цену аккаунта в World of WarCraft – 120 евро – и просто представить, что спрос на них будет оставаться стабильным в течение года, получится 2.67 млн. евро! И это объем рынка, который охватывает только аккаунты World of WarCraft – самой популярной, но не единственной популярной онлайн-игры; и только в одном канале продаж, через аукцион eBay – самый крупный и знаменитый, но далеко не единственный интернет-ресурс, где можно купить или продать что-то. Реальные объемы этого рынка, я думаю, исчисляются десятками миллионов евро.
-- World of WarCraft – это самый крупный источник краденных аккаунтов и нелегального заработка в сфере онлайн-игр?
-- До недавнего времени – да. Но сейчас – согласно нашей статистике вредоносного ПО – World of WarCraft сместилась на второе место, уступив «лидерство» по атакам проекту Maple Story. Игра не очень популярна в Европе и США, но в странах Азии – сейчас это лидирующий онлайновый игровой продукт.
-- Если говорить об общем объеме вредоносного ПО, то какую долю в нем занимают угрозы безопасности в онлайн играх?
-- В настоящий момент нам известно о 1.88 млн сэмплов вредоносов, используемых в онлайн-играх. Сложно указать точную долю подобных угроз в общем «пироге», но можно сказать, что речь идет о единицах процентов. Однако проблема тут даже не в доле «игровых» угроз в общем объеме, а в том, сейчас многие игровые троянцы нацелены сразу на несколько игр, что в несколько раз повышает шансы киберпреступников на успех.
-- К вопросу о разнообразии: каковы основные методы, которыми пользуются киберпреступники в онлайн-играх? Идет ли здесь речь о каких-то «старых и проверенных» способах мошенничества, или преступники меняют их?
-- В целом у преступников есть две главные возможности украсть игровой аккаунт: прежде всего, фишинг (направление пользователя на поддельный сайт игры с целью получения его личных данных, в том числе логина и пароля от аккаунта, -- Infox.ru). К примеру, злоумышленник создает поддельное письмо от техподдержки с предложением поучаствовать в закрытом тестировании нового дополнения, например, к World of WarCraft. Это очень заманчивое предложение, поскольку только единицы игроков получают возможность «потрогать» новый add-on задолго до его официального релиза. В письме размещается ссылка, которая, по идее, должна вести на официальный сайт игры (письма от злоумышленников приходят не в текстовом, но в HTML-формате), но на самом деле игрок перенаправляется на поддельный сайт, где содержится форма для ввода логина и пароля от аккаунта.
Второй способ, часто используемый злоумышленниками – загрузка вредоносного ПО, которое, так сказать, «просыпается» только в тот момент, когда пользователь пытается зайти в свой аккаунт к онлайн игре. Это ПО копирует вводимые с клавиатуры данные (логин-пароль) и отправляет автору вредоносного кода. Данный способ хорошо работает еще и потому, что геймеры, как правило, весьма ревностно относятся к вычислительным мощностям своих компьютеров и программам с большими системными требованиями. Поэтому перед тем, как начать играть, они просто отключают антивирусы, чтобы игра не «тормозила» и имела достаточно широкую «интернет-полосу». Злоумышленники этим пользуются, хотя большинство современных антивирусных программ потребляет минимум вычислительных мощностей и трафика.
-- Киберпреступники в онлайн-играх: насколько серьезна угроза, исходящая от них, по сравнению с другими сферами? Ведь, в конце концов, в данном случае речь идет о развлечениях.
-- Прежде всего, если у вас украли аккаунт, над которым вы корпели много месяцев, вам не остается ничего, кроме как начинать все заново – это, как минимум, неприятно. Или, допустим, ваш компьютер заражен и является частью ботнета… Владелец этой сети сегодня может украсть ваш аккаунт, а завтра – с той же легкостью – украсть данные кредитной карточки, с помощью которой вы оплачиваете доступ к онлайн-игре. Некоторые виды вредоносного ПО, о которых нам известно, рассчитаны только на работу с играми, но ничто не мешает злоумышленникам расширить поле своей преступной деятельности.
-- В случае с онлайн-играми безопасность игрока – это чья проблема в большей степени? Самого игрока? Владельцев игры? Используют ли хакеры уязвимости в коде самой игры, недостатки игрового клиента и т.д.?
-- Такое возможно, но крупные компании – Blizzard, например – уделяют этому вопросу крайне пристальное внимание. Они делают все, чтобы такого не случалось: предупреждают игроков о возможной опасности, разрабатывают и внедряют приложения, которые усиливают уровень безопасности. У них даже есть метод, который позволяет восстанавливать украденный аккаунт, если выясняется, что он был именно украден, а не просто продан самим игроком.
-- Какова география угроз информационной безопасности в онлайн играх? Откуда приходит большинство злоумышленников, и геймеры каких стран страдают больше всего?
-- В принципе, очень редко бывает так, что где-то сидит один человек и пишет вредоносное программное обеспечение, чтобы потом самостоятельно на нем заработать. Чаще всего – это группа преступников, рассредоточенных по миру. Тем не менее, более 90% всех троянских программ для онлайн-игр пишутся в Китае, а 90% паролей, которые воруют эти троянцы, принадлежат игрокам южнокорейских сайтов.
Что же касается наиболее подверженных атакам стран, то мы изучали этот вопрос и пришли к выводу, что больше всего страдают китайские геймеры. Здесь мы ежедневно регистрирует около 870 тысяч атак. Следом идет Индия, потом – Россия, на нее приходится 172 тысячи атак в день. И это только в сфере онлайн-игр.
В целом, борьба с вредоносным кодом в онлайновых играх мало чем отличается от таковой в других сферах. Это гонка вооружений. Иногда киберпреступники опережают нас, иногда – мы их. Последнее случается чаще, потому что мы стараемся делать упор на проактивную защиту, когда антивирусная программа анализирует поведение программного кода, а не просто сравнивает его с постоянно устаревающей базой сигнатур. Такой подход позволяет выявлять вредоносный код до того момента, как он нанесет кому-либо вред.
