12

Wyciek Nintendo – czyli gracze na celowniku cyberprzestępców. Jak się bronić?

Przeniesienie naszej codzienności do Sieci tworzy nowe możliwości i korzyści, ale to wcale nie oznacza, że w świecie cyfrowym nie będą czyhać na nas niebezpieczeństwa. Podobnie jak w formie analogowej, tak i cyfrowej będzie dochodzić do włamań i przecieków. Te mogą dotknąć nas w najbardziej nieoczekiwanym momencie i formie. Nawet w usługach, gdzie mogłoby się wydawać, że chodzi tylko o czystą rozrywkę.

Choć początkowo wspominano o tym nieoficjalnie, to informacja od samego początku budziła wiele obaw i wątpliwości. Jeśli okazałoby się prawdą, że hakerom udało się wykraść dane ponad 150 tysięcy użytkowników Nintendo Online, to byłaby to sytuacja, z jaką jeszcze ta firma wcześniej się nie spotkała. Na reakcję Nintendo nie trzeba było jednak długo czekać i niestety dla użytkowników platformy doniesienia te zostały potwierdzone jako prawdziwe. Pierwszymi objawami były nieudane próby logowania na wielu kontach w usłudze, a jak później ogłoszono cały proceder trwał od początku kwietnia.

Okazało się, że niezbędne było wyłączenie usługi na pewien czas i reset haseł użytkowników. Jak podano, narażonych było blisko 170 tysięcy kont oraz przypisane do nich imię i nazwisko, nick w Nintendo Network ID, płeć, data urodzenia, kraj i region oraz adresy email. Nie zdołano wykraść danych do płatności online, ale dokonywanie transakcji było możliwe i wykorzystano to między innymi do dokonywania zakupów w grze Fortnite. Nintendo zdementowało jednak informację, jakoby do wycieku doszło bezpośrednio z ich systemu – dostęp do kont miał być uzyskany przy wykorzystaniu zewnętrznych serwisów, do których zwabiono graczy.

nintendo

Nie była to jednak pierwsza tego rodzaju sytuacja, bo wcześniej w 2011 roku Sony musiało zmierzyć się z czymś podobnym. Hakerzy uzyskali dostęp do około 77 milionów kont, do których przypisane były takie dane jak imię i nazwisko, adres, e-mail, data urodzenia, historia zakupów oraz adres rozliczeń. Na tym jednak lista się nie kończyła, bo dopuszczano także możliwość przejęcia przez osoby postronne danych do logowania do kont PlayStation Network/Qriocity wraz z odpowiedziami na pytania zabezpieczające.

Tego rodzaju sytuacje mogą rodzić pytania, dlaczego właśnie gracze padają ofiarami hakerów. W teorii bardziej wartościowe mogą być inne serwisy i dane, w innych instytucjach, ale za takie ataki nie odpowiadają przypadkowe osoby, tylko zaawansowani technicznie hakerzy, którzy doskonale zdają sobie sprawę z wartości kont internetowych w serwisach z grami, a jednocześnie świadomi są prawdopodobnie niższego stopnia zabezpieczeń w takich usługach, w zestawieniu na przykład z serwisami transakcyjnym banków. Takie obiekty jest też łatwiej wykorzystać i nimi po prostu handlować, bo przecież do kont poprzypisywane są setki, a czasem tysiące płatnych tytułów, może tam znajdować się wirtualna waluta czy przedmioty.

Wejście w posiadanie odpowiedni danych pozwoli też dokonywać innych transakcji z wykorzystaniem przypisanych do konta danych do rozliczeń online, na przykład wewnątrz gry. Jednym z kluczowych czynników jest jednak nastawienie samych graczy, którzy są dość łatwym celem, często nie zabezpieczając swoich kont w odpowiedni sposób, używają tych samych danych do logowania w innych miejscach. Istotne są też takie kwestie, jak nieufność wobec oprogramowania antywirusowego oraz jego nieobecność na komputerze. Wśród graczy znajduje się też wiele młodych osób, które nie zdają sobie sprawy z zagrożeń płynących z obecności w Internecie.

płatności online

Ze względu na naszą rosnącą aktywność w Internecie warto być świadomym metod i sposobów, jakich używają hakerzy. Jedną z nich jest tak zwany credential stuffing, który polega na używaniu tych samych danych do logowania z jednej usługi we wszystkich innych. Nie jest to zbyt wyszukana metoda, ale bywa niezwykle skuteczna, bo tak jak wspomniano powyżej, wiele osób nadal sięga po te same dane we wszystkich lub w większości z usług, z których korzysta. Popularny wśród hakerów jest też phishing – w tym przypadku stosuje się podszywanie pod inne osoby lub instytucje, instaluje oprogramowanie szpiegujące, a wszystko w celu wyłudzenia informacji od ofiary. Polem, na którym używany jest phishing, są niemal wszystkie nasze urządzenia – od smartfonów po komputery, bo do wyłudzenia informacji może posłużyć niepozorna wiadomość czy e-mail.

Nie musimy być jednak bezbronni i zdani na łaskę hakerów, bo jest naprawdę wiele możliwości i zabezpieczeń, po które możemy sięgnąć już teraz, dosłownie od ręki. Jeśli posiadacie we wszystkich swoich usługach ustawione takie samo hasło do logowania i używacie wszędzie tego samego adresu e-mail do logowania, to należy jak najprędzej to zmienić – zalecane jest korzystanie z menedżera haseł, jak ten wbudowany w ESET Smart Security Premium.

eset smart seciruty

Skrzynki pocztowe pozwalają teraz na zaciąganie wiadomości z innych adresów, możecie też stosować aliasy, więc wprowadzenie takiej dość podstawowej ochrony to bardzo łatwy i bardzo dobry pierwszy krok, by uniknąć włamania na konto. Większość sklepów i usług online oferuje już dwuetapowe logowanie, które pozwala w dodatkowy sposób zabezpieczyć nasze konto. Każdorazowa próba wejścia na profil może generować powiadomienie, które poinformuje nas o aktywności na koncie. Oprócz tego, takie powiadomienie może być interaktywne i to właśnie za jego pomocą w specjalnej aplikacji będziemy potwierdzać logowanie na konto. Inną metodą jest korzystanie z generatora jednorazowych haseł lub PIN-ów, które będziemy wpisywać w drugim kroku logowania po podaniu loginu i standardowego hasła.

W tym wszystkim nie należy zapominać o dodatkowym oprogramowaniu, które zabezpieczy nas przed zupełnie innym atakami, jak phishing i złośliwe oprogramowanie. ESET Internet Security skutecznie zapobiegnie nieautoryzowanej instalacji oprogramowania z zewnątrz, a nawet gdy działa w tle nie wpływa znacząco na wydajność naszego komputera, na którym gramy.

gaming

Dobrymi poradami są też dwie czynności, które może wykonać każdy z was chwilę po zakończeniu lektury tego tekstu. Utworzenie bardziej skomplikowanego hasła do logowania w usługach online i grach może uchronić nasze konta przed atakami typu “brute force”, które polegają na wielokrotnych próbach wprowadzenia różnych kombinacji danych w trakcie logowania aż do skutku. Jeśli obawiacie się o własne finanse, to możecie na stałe odpiąć dane waszej karty bankowej od konta. Dla zachowania wygody płatności online bez każdorazowego wprowadzania danych, ale i zwiększenia bezpieczeństwa zalecałbym korzystanie z kart pre-paid do płatności online. Jest wiele dostępnych na rynku rozwiązań, które pozwalają płacić online kartą, na którą środki przelewamy tylko w razie potrzeby. Na co dzień, brak środków na karcie pozwoli uniknąć nieautoryzowanych przez nas płatności, a przecież przetransferowanie żądanej kwoty zajmuje w aplikacjach mobilnych zaledwie chwilę.

Jak pokazały przykłady z początku tekstu znalezienie się w gronie osób dotkniętych włamaniami i wyciekami wcale nie jest trudne. Warto poświęcić trochę uwagi i czasu na to, by skutecznie ochronić nasze dane i finanse przed atakami w Sieci, których bez wątpienia będzie przybywać. 

 

Materiał powstał we współpracy z marką ESET