بازی

فناوری اطلاعات

July 1, 2020
11:05 چهارشنبه، 11ام تیرماه 1399
کد خبر: 113599

چطور تروجان‌ها اکانت‌های گیمینگ را سرقت می‌کنند؟

ما اغلب از تهدیدهای آنلاینی که متوجه گیمرها می‌شود از جمله بدافزارهایی در کپی‌های پایرت‌شده، مودها (Mods) و جعل‌ها (فیشینگ و انواع اسکم‌ها موقع خرید یا مبادله آیتم‌های درون‌گیمی) صحبت می‌کنیم.
 
 
خوشبختانه، جلوگیری از تهدیدها، در صورتی که نسبت به آنها آگاهی داشته باشید، کار آسانی است. اما در این مطلب با شما از مشکل دیگری سخن گفته‌ایم؛ مشکلی که باید از آن خبر داشته باشید و در برابر آن از خود دفاع کنید: دزدان گذرواژه یا به عبارت دیگر سارقان رمز عبور.
 
وقتی راهکارهای امنیتی ما دزدان گذرواژه (Password Stealers) یا سارقان رمز عبور را گیر می‌اندازد معمولاً در قالب Trojan-PSW شناسایی می‌شوند. این نوع تروجان‌ها، برای سرقت اکانت‌ها (یا ترکیبی از نام کاربری/گذرواژه یا توکن‌های سشن)  به کار می‌روند.
 
شاید تا به حال اسم سارقان استیم به گوشتان خورده باشد؛ تروجان‌هایی که در محبوب‌ترین سرویس گیمینگ مشغول سرقت اکانتند. اما پلت‌فرم‌های دیگری مانند Battle.net، Origin، Uplay وEpic Games Store نیز می‌تواند مورد هجوم مجرمان سایبری قرار گیرد. همه پلت‌فرم‌های مذکور مخاطبانی چند میلیون دلاری دارند؛ پس طبیعی است که مهاجمان به چنین پلت‌فرم‌هایی علاقه نشان دهند و دزد گذرواژه را به جان آن‌ها بیندازند.
 
دزد گذرواژه چیست؟
دزدان گذرواژه نوعی بدافزارند که کارشان سرقت اطلاعات اکانت است. در اصل، چیزی شبیه به تروجان بانکی هستند اما به جای قطع کردن یا جایگزین کردن داده‌های واردشده معمولاً اطلاعاتی را که از پیش در کامپیوتر ذخیره شده است سرقت می‌کنند: نام‌های کاربری و رمزهای عبورِ ذخیره‌شده در مرورگر، کوکی‌ها و سایر فایل‌های روی هارد درایوِ دستگاه آلوده.
 
افزون بر این، برخی‌اوقات اکانت‌های گیم فقط یکی از اهداف دزدان هستند. برخی هم عاشق اطلاعات بانکی آنلاین و محرمانه‌ شما هستند. دزدها می‌توانند به روش‌های مختلف اکانت‌ها را سرقت کنند. برای مثال، تروجان دزد Kpot یا همان Trojan-PSW.Win32.Kpot را در نظر بگیرید. این تروجان عمدتاً از طریق اسپم ایمیل با پیوست‌هایی که از آسیب‌پذیری‌ها استفاده می‌کنند (برای مثال در مایکروسافت آفیس) برای دانلود بدافزار اصلی روی کامپیوتر توزیع می‌شود.
 
در مرحله بعد، دزد یا همان استیلر، اطلاعات مربوط به برنامه‌های نصب‌شده روی کامپیوتر را به سرور فرمان و کنترل انتقال می‌دهد و صبر می‌کند تا فرمان‌ها کار خود را پیش ببرند. از میان فرمان‌هایی که به کار گرفته می‌شود، چند فرمان هست که برای سرقت کوکی‌ها، اکانت‌های تلگرام و اسکایپ و موارد دیگر استفاده می‌شوند. اینها می‌توانند فایل‌ها را با افزونه config. از  فولدر %APPDATA%Battle.net سرقت کنند؛ فولدری که به خود Battle.net یعنی اپ گیم‌لانچرِ Blizzard وصل است. این فایل‌ها (از میان تمامی موارد دیگر) حاوی توکن سشن بازیکن هستند- بدین‌معنا که مجرمان سایبری نام‌کاربری و گذرواژه واقعی را دریافت نمی‌کنند؛ اما می‌توانند از توکن به عنوان پوشش استفاده کرده و خود را جای کاربر واقعی جا بزنند. می‌پرسید چرا؟ جواب ساده است: آن‌ها بسیار سریع می‌توانند تمامی آیتم‌های درون‌گیمیِ قربانی را بفروشند و برخی‌اوقات پول حسابی‌ای هم از این طریق پارو می‌کنند.
 
این سناریوی امکان‌پذیری در عناوین مختلف Blizzard از جمله World of Warcraft و Diablo 3 است. بدافزار دیگری که Uplay (اپ گیم‌لانچر Ubisoft ) را مورد هدف قرار داده Okasidis یا Trojan-Banker.MSIL.Evital.gen نام دارد. این بدافزار در خصوص اکانت‌های گیمینگ درست مانند تروجان Kpot عمل می‌کند با این تفاوت که این دو فایل بخصوص را می‌دزدد:
 
%LOCALAPPDATA%Ubisoft Game Launcherusers.dat
 
 %LOCALAPPDATA%Ubisoft Game Launchersettings.yml
 
Uplay همچنین خوراک بدافزاری شناسایی‌شده با نام HEUR:Trojan.Win32.Generic است؛ بدافزاری که از فولدر/گیم‌لانچرِ %LOCALAPPDATA%Ubisoft تمامی فایل‌ها مثل جاروبرقی را بالا می‌کشد. تازه، Uplay، Origin و Battle.net همگی طعمه‌ی چرب و نرمی‌ برای بدافزارBetaBot  با نام دیگر Trojan.Win32.Neurevtهستند. اما این تروجان به طور متفاوتی وارد عملیات می‌شود. اگر کاربر از  URL حاوی یک سری کلیدواژه مخصوص ، مثلا هر آدرسی با واژه‌های uplay یا origin ، دیدن کند، بدافزار شروع می‌کند به جمع‌آوری داده از فرم‌های روی این صفحات. این یعنی نام‌های کاربری و رمزهای عبور اکانت که روی این صفحات وارد شده است دو دستی تقدیم مهاجمان می‌شود. در هر سه مورد، کاربر بعید است متوجه چیز مشکوکی شود؛ زیرا تروجان به هیچ‌وجه روی کامپیوتر خود را نشان نداده هیچ پنجره‌ای با درخواست نمایش نمی‌دهد و فقط مخفیانه فایل‌ها یا داده‌ها را می‌دزدد.
 
چطور در امان بمانیم؟ 
در اصل، از اکانت‌های گیمینگ باید درست مانند هر چیز دیگری محافظت شود. برای محافظت از آن‌ها نکات امنیتی زیر را به شما توصیه می‌کنیم:
● با احراز هویت دوعاملی از اکانت خود محافظت کنید. Steam مجهز به Steam Guard است و Battle.net نیز مجهز به Blizzard Authenticator. Epic Games Store هم دو گزینه اپ احراز هویت‌گر و احراز هویت با متن یا ایمیل را در اختیارتان قرار می‌دهد. اگر اکانت‌تان به سرویس احراز هویت دوعاملی مجهز باشد، آنوقت مجرمان سایبری برای نفوذ به سیستم به چیزی بیش از صرفِ نام کاربری و گذرواژه نیاز خواهند داشت.
 
● مودها را از سایت‌های مشکوک یا نرم‌افزارهای پایرت‌شده دانلود نکنید. مهاجمان بخوبی از عطش مردم برای چیزهای رایگان خبر دارند و از طریق بدافزاری مخفی‌شده در کرک‌ها، چیت‌ها و مودها آن را اکسپلویت می‌کنند.
 
● از راهکار امنیتی مطمئنی استفاده کنید.
 
● وقتی در حال بازی کردن هستید، آنتی‌ویروس خود را خاموش نکنید. اگر این کار را کنید، دزد گذرواژه ممکن است ناگهان دست به کار شود. 
 
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.