Pontos de vista

Segurança para jogos e gamers

Kevin Townsend, 3 Abril 2019

Preste atenção na interessante colocação do blogueiro convidado, Kevin Townsend, enquanto ele explica porque os gamers online precisam vencer os hackers... além dos seus oponentes.

No início de janeiro de 2019, uma grande empresa de segurança dos EUA publicou os resultados de uma pesquisa sobre gamers e segurança. Foi um pouco decepcionante. Eles descobriram que três quartos dos gamers se preocupam com o futuro da segurança no mundo dos jogos, que 55% deles reutilizam senhas nas contas e que um gamer sofre em média quase cinco ataques cibernéticos.

Isso não nos diz nada sobre a segurança de jogos e gamers. Mude a palavra “gamers” para “garçons” e saberíamos tanto quanto sobre segurança para baristas e cafés, provavelmente com a mesma exatidão. Os gamers fora de seus jogos são apenas usuários de computador com os mesmos problemas de segurança e as mesmas preocupações que todos os outros.

Mas dentro do jogo, é um mundo completamente diferente, onde apenas algumas das regras normais de comportamento civilizado se aplicam. Cibercriminosos atacam os gamers e roubam bens virtuais. Depois eles vendem esses bens para outros gamers dentro do próprio jogo por dinheiro do mundo real. E os melhores cibercriminosos de jogos podem ganhar muito dinheiro.

Por que existe hacking nos jogos?

Os videogames são hoje a maior indústria de entretenimento do mundo. Em comparação com livros, filmes, TV e música, é o meio mais inerentemente digital. Embora videogames sejam entretenimento, os gamers geralmente confiam suas informações pessoais às empresas de jogos da mesma forma que aos seus locais de trabalho, a lojas online ou até mesmo as instituições financeiras. E o que os hackers têm a ganhar visando os videogames e os seus jogadores?

Valores virtuais

As economias dos jogos forneceram, essencialmente, um precursor para as criptomoedas. Embora o dinheiro virtual ganho no jogo não possa ser usado no mundo real, ele ainda é uma mercadoria com real valor para os gamers. Contas com grande quantidade de moedas ou acesso a itens raros e prestigiados no jogo podem valer altos preços no mundo real. Não importa o quão antigo seja o jogo, se há uma forte base de jogadores, há valor. Um moderador (também conhecido como Mod Jed) do RuneScape, um dos jogos online mais antigos, recentemente explorou seus privilégios elevados para roubar dinheiro virtual dos jogadores (45 bilhões em moedas do jogo, equivalentes a 100.000 dólares no mundo real).

Isso também se aplica aos próprios jogos. Muitos jogos são publicados, vendidos e autenticados online em plataformas de distribuição como Steam, Origin, GOG Galaxy, entre outras. Os gamers geralmente gerenciam todos ou a maioria dos seus jogos por meio de uma única conta e os usuários antigos podem ter bibliotecas de centenas de jogos. O Steam também permite que os jogadores mantenham e comercializem itens virtuais adicionais, como papéis de parede, adesivos e adereços de jogo. Houve casos de hackers que roubaram esses itens dos inventários do Steam, bem como contas inteiras no Origin.

Roubo de dados

Na maioria das vezes, no entanto, as contas dos gamers são as mais valiosas para os hackers e, portanto, mais visadas. Jogos online e para dispositivos móveis reúnem uma grande quantidade de dados sobre seus usuários. Quanto mais pessoais forem os dados, mais valiosos eles serão para os hackers e os jogos para dispositivos móveis geralmente rastreiam informações privadas como localização, envolvimento de mídia e até mesmo ligações telefônicas. Transações no jogo e assinaturas mensais para jogos online significam que as informações financeiras geralmente estão incluídas nos dados de um usuário.

As ameaças que os gamers enfrentam

Independentemente de um cibercriminoso querer roubar uma conta por causa da riqueza virtual do personagem do jogador ou por causa dos seus dados do mundo real, ele tem várias maneiras de fazer isso com sucesso. Os métodos em si não são diferentes daqueles enfrentados pelos usuários de qualquer outro campo, mas os gamers podem experimentar alguns fatores e circunstâncias de risco exclusivos.

Autenticação fraca

A reutilização de senhas é um problema comum, pois o gamer, em geral, precisa gerenciar contas de várias plataformas de distribuição, editores e jogos. Cada plataforma de distribuição (Steam, Origin, etc.) exige uma conta; algumas empresas de jogos, como a Epic Games e a Rockstar, exigem uma conta para jogar ou acessar recursos sociais; a maioria dos jogos online multiplayer exigem uma senha exclusiva para eles. Isso faz com que os gamers precisem lembrar e gerenciar dezenas de senhas e as credenciais de jogos mais antigos podem ser facilmente esquecidas, ficando desatualizadas por anos.

Vários jogos também fazem metade do trabalho para possíveis invasores; muitas vezes, basta ver outro jogador no jogo para descobrir seu nome de usuário. Por exemplo, o Battlefield 5 tem um modo competitivo de até 64 jogadores, o que significa que um único jogo fornece a um possível agente mal-intencionado até 63 nomes de usuários nos quais tentar senhas comuns ou padrão.

Outros jogos lhe darão acesso às pontuações dos gamers, fornecendo acesso a basicamente todos os nomes de usuário usados no jogo ou, pelo menos, os dos melhores jogadores, que serão ainda mais valiosos.

Phishing

As campanhas de phishing são frequentemente direcionadas contra gamers de jogos populares. Os cibercriminosos não se limitam aos emails fraudulentos padrão normalmente usados para induzir os usuários a fornecer credenciais de login. Uma tática frequente é configurar uma página de login falsa, ou se apresentar como um amigo e tentar enviar links maliciosos por meio de plataformas de bate-papo. O interesse comum em jogos dá credibilidade e até confiança, a um email de phishing.

Os jogos também dão aos cibercriminosos bem-sucedidos mais opções do que outros campos. Um ataque de phishing bem-sucedido pode não resultar em uma completa posse da conta do jogador, mas pode permitir que o intruso obtenha algo de valor do inventário do Steam ou do personagem de MMO e parta para outro ataque.

Malware

Os vetores usados para espalhar malwares para os gamers geralmente se sobrepõem aos métodos de phishing. Se o bate-papo do Steam pode ser usado para espalhar links para páginas de autenticação falsas, certamente pode ser usado para enviar links para downloads de malwares. Com jogos competitivos, muitos gamers podem ser convencidos a baixar voluntariamente aplicativos maliciosos em troca de cheats, hacks, ou outras maneiras de ganhar vantagem sobre os outros jogadores.

Falhas de segurança em jogos e sites

Embora existam muitas maneiras de os gamers serem vítimas de agentes mal-intencionados, isso não exime a responsabilidade das empresas de jogos. Os gamers confiam em infraestruturas e aplicativos seguros tanto quanto confiam em suas próprias capacidades de detectar uma ameaça. Infelizmente, isso não é uma responsabilidade que as empresas de jogos sempre defendem com sucesso.

Em janeiro de 2018, uma falha no processo de autenticação do Fortnite foi divulgada. O URL de login não era validado, deixando-o vulnerável a um ataque de redirecionamento. Para piorar a situação, os pesquisadores que descobriram a falha também encontraram e comprometeram um subdomínio não utilizado e vulnerável da Epic. Atualmente, a autenticação da Epic usa login de mídias sociais. Uma solicitação de login genuína também seria redirecionada para o subdomínio comprometido, que solicitaria as credenciais de login do usuário, receberia as informações e as enviaria ao invasor.

Tanto o usuário genuíno quanto o invasor teriam credenciais de login válidas para acessar a conta do Fortnite. O invasor poderia roubar artefatos, qualquer informação pessoal (talvez até informações de cartão de crédito), além de comprar e roubar moedas do jogo (V-Bucks, que poderiam ser vendidas por dinheiro real fora do jogo). E tudo o que o invasor precisaria fazer seria persuadir a vítima a usar o URL de redirecionamento mal-intencionado para fazer login, e isso é engenharia social padrão.

Como os gamers podem se proteger

A situação não é tão ruim quanto parece. Muitas vezes, os usuários são o ponto mais fraco de qualquer sistema de segurança, mas a maioria dos gamers são nativos digitais. Uma certa familiaridade com a tecnologia geralmente facilita a conscientização dos usuários sobre como melhorar a segurança e a proteção dos dados. Há várias precauções que as pessoas podem tomar para proteger melhor suas contas contra danos. Essas são algumas possibilidades:

Proteção por senha

Boas práticas de senha são tão eficazes nos jogos quanto em outros lugares. Os gamers devem seguir as diretrizes de força de senhas e considerar o uso de frases de senha para ajudar na memorização e se proteger contra a quebra de senhas. Um bom gerenciador de senhas também pode ser útil. Acima de tudo, é importante evitar a reutilização de uma mesma senha em várias contas, senão uma conta comprometida do Overwatch poderia comprometer o Steam, o Origin e até mesmo o email pessoal do usuário.

Consciência sobre phishing

As dicas comuns de phishing se aplicam aos gamers tanto quanto a qualquer outra pessoa. Nunca clique em um link sem saber ao certo o seu destino. Até os links enviados por amigos podem ser mal-intencionados caso venham de contas comprometidas. Lembre-se de que emails genuínos de provedores de jogos não solicitarão credenciais de login nem informações pessoais. Se for impossível afirmar que um email é genuíno, entre em contato diretamente com a equipe de suporte do jogo e pergunte. Os gamers devem tomar cuidado com ofertas “boas demais para serem verdade”. Um gamer que oferece uma aparente barganha pode estar tentando persuadir as pessoas a participar de um esquema de phishing e um site que oferece vantagens competitivas imbatíveis tem grandes chances de ser algum tipo de golpe.

Proteção contra malwares

Muitos gamers têm aversão ao uso de softwares antivírus, pois eles costumam ser vistos como redutores de desempenho (velocidade). Alguns produtos antivírus também costumam apresentar falsos positivos quando se trata de jogos ou plataformas de jogos. Ainda assim, é possível (e definitivamente aconselhável) encontrar um bom antivírus que inclua recursos de “modo de jogo” para manter o alto desempenho e que não desestimule os jogadores a permanecerem seguros com falsos alertas.

Autenticação multifator

Muitos jogos e distribuidores oferecem opções de autenticação de dois (ou mais) fatores. Esse tipo de autenticação sempre deve ser habilitada, se disponível. Ela adiciona uma etapa ao processo de login, enviando um código para um email ou número de telefone registrado. Apesar de inconveniente, as empresas de jogos incentivam a 2FA para melhorar a segurança da conta e algumas estão começando a oferecer recompensas dentro dos jogos para os jogadores que a habilitam.

Como as empresas de jogos podem ajudar

Na maioria dos casos, a responsabilidade final por manter as contas seguras recai sobre os gamers. No entanto, isso não significa que os desenvolvedores, editores e distribuidores não possam - ou não devam - fazer algo para ajudar seus jogadores a permanecerem o mais seguros possível. Esses são alguns passos que as empresas de jogos podem seguir para ajudar a manter um alto padrão de segurança:

Suporte ao usuário e recursos de segurança

Vários dos métodos que os gamers podem usar para se proteger dependem do que a empresa de videogame em questão disponibiliza. A autenticação multifator é boa, mas somente se o software tiver uma estrutura para tal. Deve haver suporte para que os usuários possam bloquear rapidamente suas contas, caso sejam comprometidas, especialmente se informações financeiras estiverem envolvidas.

Segurança de backend

Também existem recursos que os desenvolvedores podem implementar sem o conhecimento do jogador. O geofencing pode ser uma ferramenta eficaz para proteger contas de usuário e já é empregado em muitas outras áreas. A biometria comportamental também pode ser uma opção a considerar. Embora a biometria comportamental ainda esteja em fase inicial e seja muito cara para implementar, os jogos estão em uma posição exclusiva para explorar essa tecnologia. Uma forma rudimentar de biometria comportamental já é empregada nos sistemas de detecção de fraudes de alguns jogos, capazes de sinalizar potenciais cheaters por inconsistências no jogo. Uma pequena inovação poderia facilmente estender isso à segurança e à proteção da conta.

Conhecimento e suporte ao usuário

Não há nada que uma empresa possa fazer, no ramo de jogos ou não, para forçar seus usuários a terem mais segurança. No entanto, não há motivos para não tornar as informações as mais acessíveis e assimiláveis quanto possível. Uma página de fácil acesso contendo práticas recomendadas básicas de segurança, apresentadas em linguagem concisa e simples, certamente não seria pedir demais. Todas as ameaças ativas conhecidas devem ser destacadas na tela inicial ou no menu principal de um jogo, juntamente com a melhor maneira de os jogadores se protegerem.

Respeito aos dados pessoais dos usuários

Dados são valiosos, tanto para processadores de dados legítimos quanto para agentes mal-intencionados que buscam comprometê-los. Os jogos para dispositivos móveis e os aplicativos de mídias sociais compartilham a mesma reputação por coletarem dados desnecessários sobre seus usuários, o que significa que qualquer violação resulta em uma perda muito maior do que deveria ser. Vários jogos tiveram que ser desativados com o surgimento da GDPR, pois seria muito caro atualizar seus sistemas de coleta de dados para cumprir as novas regulamentações. As empresas de jogos, assim como qualquer organização que coleta ou armazena dados de clientes, devem seguir as práticas recomendadas de segurança e nunca coletar mais dados do que o necessário.

O videogame tem um tipo único de dualidade quando se trata de segurança cibernética. Um gamer é um usuário de software como todos os outros. Ele está sujeito aos mesmos riscos e ameaças de segurança que qualquer outro usuário. Os mesmos princípios de segurança são igualmente eficazes e importantes. No entanto, cada ameaça também envolve uma reviravolta única, que adiciona uma complicação que não é vista em nenhuma outra área. Os invasores têm mais opções para comprometer a segurança dos gamers, que devem adaptar suas práticas para responder a isso. Ao saber quais aspectos da segurança são idênticos e quais são diferentes, as empresas de jogos e seus clientes podem se proteger e ficar em segurança com um estilo de vida que é “apenas diversão”, mas que comporta um valor real com possibilidade de prejuízos reais.


Kevin Townsend é um blogueiro convidado do Avast Blog onde você pode acompanhar todas as notícias de segurança mais recentes. A Avast é líder global em segurança cibernética, protegendo centenas de milhões de usuários em todo o mundo com o seu antivírus gratuito premiado e mantendo suas atividades online privadas com a sua VPN e outros produtos de privacidade. Participe dessa conversa com a Avast no Facebook e no Twitter.