Náš hostující blogger Kevin Townsend o tom, že dnešním gamerům nestačí jen přechytračit protivníky, musí vyzrát i nad hackery.
Významná americká bezpečnostní firma počátkem ledna 2019 zveřejnila znepokojující výsledky průzkumu v oblasti hráčského zabezpečení. Zjistila, že tři čtvrtiny hráčů mají do budoucna obavy o své bezpečí při hraní her, že 55 % hráčů používá na různých účtech stejná hesla a že se průměrný hráč stal až pětkrát cílem kybernetického útoku.
O hráčích a bezpečnosti při hrách jsme se z tohoto průzkumu ale nic nedozvěděli. Pokud slovo „hráči“ zaměníme za slovo „číšníci“, nejspíše se toho s větší či menší přesností dozvíme stejně o baristech a zabezpečení kaváren. Když zrovna hráči nehrají, jsou jen běžnými počítačovými uživateli, kteří se potýkají se stejnými bezpečnostními problémy jako kdokoli jiný.
Při hraní her je tomu ale jinak. V herním světě totiž platí jen některá z běžných pravidel, kterými se řídíme v normálním životě. Hackeři napadají hráče a kradou virtuální zboží. Toto zboží pak přímo ve hrách prodávají jiným hráčům, a to za normální peníze. Nejlepší herní hackeři si tím přijdou na nemalé částky.
Důvody hackování ve hrách
Videohry dnes mají na celosvětovém zábavním průmyslu v porovnání s knihami, filmy, televizním vysíláním a hudbou největší podíl. Ačkoli jde o zábavu, hráči herním společnostem natolik důvěřují, že jim svěřují i osobní údaje, které by jinak pověděli málokomu. O co tedy hackerům, kteří cílí na videohry a jejich hráče, jde?
Virtuální cennosti
Měny ve hrách lze považovat za předchůdce kryptoměn. Ačkoli virtuální peníze z her nelze používat v běžném životě, hráči je i tak považují za komoditu se skutečnou hodnotou. Účty se spoustou virtuálních peněz či přístupem ke vzácným a prestižním herním položkám mohou být v reálném světě hodně ceněné. Nezáleží na tom, jak je hra stará. Jestliže má velkou hráčskou komunitu, má i pro hackery hodnotu. Jeden z moderátorů (známý jako Mod Jed) ve hře RuneScape, která je jednou z nejdéle provozovaných online her na světě, nedávno zneužil svá vyšší uživatelská oprávnění a hráčům ukradl virtuální peníze v reálné hodnotě 100 000 USD (45 miliard herních mincí).
To stejné platí i pro samotné hry. Řada z nich je publikována, prodávána a provozována na distribučních platformách, jako jsou Steam, Origin, GOG Galaxy atd. Hráči mívají všechny nebo většinu svých her na jednom účtu, přičemž dlouhodobí hráči na Steamu mohou ve své knihovně mít až stovky herních titulů. Na Steamu je rovněž možné obchodovat s doplňkovými virtuálními položkami, jako jsou tapety, nálepky nebo úpravy herních hrdinů, a vlastnit je. Už se objevily případy krádeží položek z účtů na Steamu i celých účtů na Originu.
Krádeže dat
Nejcennějším, a tedy i nejčastějším cílem jsou ale pro hackery hráčské účty. Online a mobilní hry o svých uživatelích uchovávají ohromné spousty dat. Čím více jsou taková data osobnější, tím jsou pro hackery cennější. A do toho mobilní hry často sbírají natolik osobní údaje, jako je poloha, aktivita na sociálních sítích, či dokonce telefonní hovory. Transakce ve hrách a měsíční předplatná online her znamenají, že součástí uživatelských dat bývají i finanční údaje.
Hrozby, kterým hráči čelí
Hackeři mohou nad účtem převzít kontrolu různými cestami a nezáleží, jestli mají zájem o virtuální bohatství hráčovy herní postavy, nebo o osobní údaje uživatele. Metody útoků bývají ve všech oblastech stejné, avšak hráči musí navíc čelit dalším specifickým rizikům.
Nedostatečně zabezpečené přihlašování
Používání stejných hesel na více účtech je běžným problémem, protože průměrný hráč používá účtů hned několik (na distribučních platformách, u vydavatelů, ve hrách). Každá distribuční platforma, jako je Steam či Origin, vyžaduje účet. Některé herní společnosti jako Epic Games nebo Rockstar vyžadují účet, abyste mohli hrát jejich hry nebo používat sociální funkce. Většina multiplayerových her jako takových vyžaduje zadání hesla. Hráč si kvůli tomu musí pamatovat spousty přihlašovacích údajů, které si moc často (zejména u starších her) nemění.
Řada her navíc potenciálním hackerům usnadňuje práci – stačí se v nich potkat s jiným hráčem a rázem znáte jeho uživatelské jméno. Například Battlefield 5 nabízí multiplayerový režim až pro 64 hráčů. To znamená, že potenciální útočník se při jedné hře může dozvědět až 63 uživatelských jmen, u nichž pak může zkoušet, jestli některý z hráčů nepoužívá nějaká jednoduchá hesla.
V jiných hrách zase najdeme hráčské žebříčky, ze kterých se hacker dozví jména v podstatě všech uživatelů, nebo aspoň těch nejúspěšnějších (jejichž účty bývají nejcennější).
Phishing
Phishingové útoky často cílí na hráče populárních her. Jejich pachatelé už nepoužívají jen běžné podvodné e-maily, kterými se z hráčů snaží vymámit jejich přihlašovací údaje. Často například vytvářejí falešné přihlašovací stránky nebo se vydávají za kamarády a přes chat posílají škodlivé odkazy. Stát se obětí podvodných e-mailů cílených na hráče je snadné.
Hry navíc úspěšným phishingovým útočníkům nabízejí více možností než cokoli jiného. Důsledkem phishingového útoku nemusí být nutně úplné převzetí kontroly nad hráčským účtem. Útočník si často vystačí jen s čímkoli, co je na takovém účtu cenné, případně s krádeží herní postavy.
Malware
Malwarové útoky přes hry často s těmi phishingovými souvisí. Pokud lze chat na Steamu používat k šíření odkazů na falešné přihlašovací stránky, lze jej používat i k šíření odkazů, přes které si uživatel nevědomky stáhne malware. Přesvědčit hráče multiplayerových her, aby si dobrovolně stáhli škodlivé aplikace, bývá nenáročné. Stačí jim slíbit „cheaty“, vylepšení nebo jiné výhody nad hráči ostatními.
Bezpečnostní nedostatky her a webových stránek
Obětí útočníků se hráči mohou stát různými cestami, ale to neznamená, že bychom herním společnostem měli upírat jejich kus odpovědnosti. Hráči se spoléhají, že jsou jimi používané infrastruktury a aplikace dostatečně zabezpečené a dokážou odhalovat případné hrozby. Herní společnosti v tomto ohledu ale občas pokulhávají.
V lednu 2018 byl odhalen nedostatek v přihlašování ke hře Fortnite. Přihlašovací webová adresa nebyla ověřována, takže byly účty zranitelné vůči útokům prostřednictvím přesměrování. A aby toho nebylo málo, odborníci, kteří tento nedostatek objevili, rovněž odhalili a kompromitovali nepoužívanou a zranitelnou subdoménu firmy Epic. Epic proto nově zavedl přihlašování uživatelů přes sociální sítě. Skutečný požadavek na přihlášení by mohl být rovněž přesměrován na kompromitovanou doménu, která by obdržené přihlašovací údaje předala útočníkovi.
Majitelem přihlašovacích údajů k účtu ve hře Fortnite by tak nadále nebyl jen samotný uživatel, ale i útočník. Útočník by mohl ukrást předměty na účtu a jakékoli uvedené osobní údaje (možná i údaje o platební kartě), případně by na účtu mohl koupit či ukrást herní měnu V-Bucks (kterou by pak mimo hru mohl vyměnit za skutečné peníze). K tomu všemu by stačilo, kdyby svou oběť pomocí standardních postupů sociálního inženýrství přiměl, aby se přihlásila na škodlivé přesměrovací adrese.
Jak se hráči mohou chránit
Situace není tak hrozná, jak se může zdát. Nejslabším článkem každého bezpečnostního systému mnohdy bývají uživatelé, ale většina hráčů má digitální technologie v malíčku. Když už uživatelé mají o technologiích určité povědomí, vysvětlit jim dodatečné možnosti zabezpečení a ochrany dat bývá snazší. Uživatelé mají hned několik možností, jak své účty chránit před riziky. Zde jsou některé z nich:
Ochrana heslem
Kvalitní hesla se při hraní her hodí stejně jako jinde. Hráči by měli používat hesla složitá, zapamatovatelná a zároveň odolná proti útokům hrubou silou. Vhodný správce hesel by jim s tím mohl pomoci. Především je však třeba nepoužívat stejné heslo na více účtech. Když vám pak někdo jeden z těchto účtů hackne, snadno se dostane i na jiné a může se vám nabourat i do e-mailové schránky.
Informovanost o phishingu
Základní rady, jak se chránit před phishingem, platí i pro hráče. Nikdy neklikejte na odkazy, u kterých nevíte, kam směřují. Dokonce odkazy od přátel mohou být škodlivé, pokud jim někdo hacknul účet. Poskytovatelé her vás ve svých e-mailech nikdy nebudou žádat o přihlašovací nebo osobní údaje. Pokud si nejste jistí, jestli je nějaký e-mail legitimní, kontaktujte přímo podporu dané hry a zeptejte se na něj. Hráči by si měli dávat pozor na příliš výhodné nabídky. Spoluhráč, který nabízí nějakou výměnu, se vás možná jen snaží nalákat do pasti a webová stránka nabízející jedinečné výhody oproti ostatním hráčům nejspíš bude podvodná.
Ochrana před malwarem
Spousta hráčů nerada používá antivirový software, protože si myslí, že jim zpomalí počítač. Některé antivirové produkty také mohou určité hry či herní platformy nahlašovat jako hrozby. Dnes si ale na trhu můžete najít dobrý antivirus s herním režimem, který brání ve zpomalování her antivirovými testy a předchází zbytečnému rušení při hraní.
Vícestupňové ověřování
Spousta her a distributorů nabízí dvou- nebo vícestupňové ověřování. Pokud je to možné, takovou funkci si zapněte. Při přihlašování pak bude nutné dodatečně zadávat kód, který jste obdrželi na zaregistrovanou e-mailovou adresu nebo telefonní číslo. Jedná se sice svým způsobem o komplikaci, ale herní společnosti používání této bezpečnostní funkce doporučují a některé své hráče i odměňují, když si ji zapnou.
Jak mohou pomoci herní firmy
Konečná odpovědnost za zabezpečení účtů ve většině případů leží na samotných hráčích. To však neznamená, že vývojáři, vydavatelé a distributoři by se zlepšováním ochrany svých hráčů vůbec nemuseli zabývat. Herní společnosti mohou se zabezpečením pomáhat řadou následujících cest:
Uživatelská podpora a bezpečnostní funkce
Řada možností, jak se uživatelé mohou chránit, závisí na tom, jaké bezpečnostní funkce výrobce her poskytuje. Vícestupňové ověřování je dobré, ale jen v případě, že jej software podporuje. Uživatelé by měli mít možnost své hacknuté účty hned zablokovat – zvlášť, když na nich mají své platební údaje.
Zabezpečení vlastních systémů
Vývojáři mohou do svého softwaru přidat různé bezpečnostní funkce, které jsou oku běžného uživatele skryté. Monitorování geografických zón se zdá být účinným nástrojem na ochranu uživatelských účtů a už se v řadě oborů používá. Další možností, jak se chránit, může být behaviorální biometrika. Sice je zatím ještě v plenkách a její implementace není nijak levná, ale v herním průmyslu by mohla najít široké uplatnění. Některé hry už základní formu behaviorální biometriky používají ve svých systémech, které nahlašují možné podvody při hraní. Po troše vylepšení by ji šlo používat i k ochraně uživatelů a účtů.
Informovanost uživatelů
Žádná firma nemá své uživatele jak přinutit, aby se zajímali o své zabezpečení. Ale není důvod, proč by si informace, které by se uživatelům mohly hodit, měla nechávat pro sebe. Snadno přístupná stránka se stručným a běžnému člověku srozumitelným popisem základních bezpečnostních postupů zcela jistě není na škodu. Kolikrát stačí, když herní vývojáři upozorní hráče na jakékoli známé či aktivní hrozby pomocí nepřehlédnutelného upozornění na spouštěcí nebo hlavní obrazovce hry, do něhož doplní i pokyny, jak se před takovými riziky chránit.
Ochrana osobních uživatelských dat
Data jsou cenná – nejen pro jejich legitimní zpracovatele, ale i pro různé zločince, kteří se jich snaží zmocnit. Mobilní hry a aplikace sociálních sítí jsou známé tím, že o svých uživatelích sbírají množství dat, která nepotřebují. Když by taková data unikla, mohlo by dojít ke značným škodám. Několik her muselo kvůli GDPR skončit, protože pročistit jejich systémy na sběr dat od údajů, které novým předpisům nevyhovují, by bylo příliš nákladné. Herní firmy by se stejně jako jiné organizace, jež sbírají nebo uchovávají data o svých zákaznících, měly řídit vhodnými bezpečnostními postupy a nikdy by neměly sbírat víc dat, než potřebují.
Pokud jde o kybernetickou bezpečnost, hráči her jsou v jedinečné pozici. Takový hráč je softwarový uživatel jako kdokoli jiný a je tedy ohrožován stejnými druhy bezpečnostních rizik. To znamená, že pro něj platí i stejná bezpečnostní pravidla. Každá hrozba, jíž hráči čelí, je však svým způsobem jedinečná a v jiných oborech nevídaná. Útočníci mají více možností, jak hráčům hacknout jejich účty, a hráči se proto musí odpovídajícím způsobem chránit. Když budou herní firmy a jejich zákazníci vědět, v čem jsou rizika, která je ohrožují, stejná a v čem se liší, dokážou se chránit a zároveň předcházet možným ztrátám.