如何保護你的網路遊戲帳號?

即便像《要塞英雄》Fortnite和Apex Legends這類免費遊戲,也都具備遊戲內購功能,而我們在這上面花錢也不會手軟。比方說,雖然玩Fortnite不用花錢,但有68.8%的玩家會花錢在遊戲內購上,這些玩家的平均消費高達84.67美元

How to Protect Your Online Gaming Accounts — Steam, Origin, Epic, and More!

這表示我們的網路遊戲帳號其實代表了一大筆錢。如果駭客能夠拿到你的帳號,那麼可能失去的不僅是你的遊戲進度和來之不易的成就,也包括了帳號內的遊戲及遊戲內購物品。

繼續閱讀

詐騙與病毒瞄準線上遊戲玩家,安全玩線上遊戲10要點

    利用具有人氣的網路線上遊戲的網路犯罪絡繹不絕。濫用遊戲內的聊天室等騙取用戶感染病毒,企圖盜取資訊及金錢是典型的欺騙手法。為了能夠安全地使用線上遊戲讓我們掌握幾項要點:

🔻線上遊戲成為網路犯罪者覬覦的目標

🔻以取得人氣遊戲作為誘餌讓用戶輸入個人資訊

🔻留意偽裝成人氣遊戲的假應用程式

🔻與陌生人進行交流需謹慎

🔻安全玩線上遊戲10要點

繼續閱讀

網路犯罪盯上遊戲玩家,七對策自保


利用社交工程(social engineering )進行的線上遊戲的網路詐騙會導致玩家的金錢及資訊、遊戲內的物品、重要的帳號等遭竊取。請玩家掌握應採取的對應對策。

🔻網路線上遊戲是網路犯罪者瞄準的目標

🔻圍繞在遊戲玩家的的網路威脅有哪些?

🔻遊戲玩家可以採取的7項對策

網路線上遊戲是網路犯罪者瞄準的目標


網路線上遊戲(Online Game)無論男女老幼,廣泛受到人們的喜愛。另一方面,由於擁有大量的用戶,市場規模有擴大傾向的網路服務容易被網路犯罪者盯上。讓我們來看看圍繞在線上遊戲玩家周遭的威脅有哪些。

圍繞在網路線上遊戲用戶周遭的威脅有哪些?

繼續閱讀

網路犯罪者如何利用聊天應用程式 Discord 攻擊 ROBLOX 玩家?

我們常會聽到網路犯罪者鎖定遊戲玩家進行攻擊。過去我們曾通報許多類似事件,例如假遊戲應用程式、以線上遊戲貨幣從事現實貨幣洗錢等。攻擊者的目標通常很單純:竊取個人資訊並從中獲利,而遊戲本身也因此經常遭到濫用。

在本文說明的案例中,遭到網路犯罪者利用的並非遊戲,而是遊戲玩家所使用的通訊工具,Discord,這是玩家經常使用的新一代聊天平台,擁有超過 4,500 萬名註冊會員用戶。

ROBLOX

此攻擊案例涉及熱門的大型多人遊戲 ROBLOX,這個遊戲擁有 1 億 7,800 萬名註冊用戶,每個月超過 1,200 萬名活躍使用者。ROBLOX 的發展非常仰賴使用者建立的內容,玩家可以在 ROBLOX 的世界中建立自己的迷你遊戲與環境,並且與其他玩家遊玩分享。ROBLOX 亦具備社群網路的要素,鼓勵使用者進行社交、一起玩遊戲及建立內容,並賺取、消費可交換現金的專屬虛擬貨幣 ROBUX。

Discord 的詐欺漏洞

在網路犯罪者攻擊 ROBLOX 玩家的犯罪中,Discord 扮演何種角色?我們的研究發現,網路犯罪者濫用此聊天平台內建的一項功能,即應用程式設計介面 (API),API 讓此平台能執行使用者建立的程式碼與應用程式。網路犯罪者可藉此從使用 Discord 的目標系統中,竊取包含 ROBLOX 登入憑證的瀏覽器 cookie,具體而言,是 Discord 使用 webhook 的能力遭到濫用。Webhook 其實就是特定應用程式或程序符合條件時,讓聊天程式傳送訊息至指定頻道或使用者,Discord 因此成為資訊外洩的管道。

濫用 webhook 的手法可細分為以下步驟:

  1. 惡意程式感染目標系統,在此案例中,趨勢科技偵測到惡意程式 TSPY_RAPID.A。TSPY_RAPID.A 最早出現在遊戲論壇上,使用者將它貼在論壇上,宣稱是「作弊程式」,可讓玩家修改角色,取得勝過其他玩家的不當優勢。此惡意程式的程式碼中包含 Discord webhook,如下所示 (SHA256: a983e78219bf3c711c21c7dc23f03dca621ed5861578a8848a954ad9ac9f20e5)。Figure 1 1 在程式尾端夾帶 Discord webhook 惡意程式碼的螢幕截圖
  2. 此惡意程式會持續等待,直到偵測到被害者系統中的 ROBLOX,就會竊取使用者的遊戲帳戶 cookie。
  3. 惡意程式利用 Discord,將竊取到的 cookie 傳送給同樣連線至 Discord 的指定頻道或使用者。
  4. 遭竊的 cookie 即用於登入已遭入侵的 ROBLOX 帳戶,竊取儲存於帳戶的 ROBUX,推測最後換為現金。

繼續閱讀