Branża gier online atakowana w 2020 roku prawie 250 milionów razy

Przeczytaj także: Wybory parlamentarne niosą ryzyko cyberataków. Znamy potencjalne scenariusze

Liczba cyberataków na branżę gier online wzrosła znacząco w czasie pandemii. Raport Akamai, jednej z największych na świecie firm zajmujących się przechowywaniem danych, mówi o prawie 250 milionów ataków na aplikacje webowe w branży gier w ubiegłym roku. To ok. 4 proc. z 6,3 miliarda ataków, które zarejestrowano na całym świecie.

Firma odkryła, że cyberprzestępcy często korzystali z Discorda, bezpłatnej aplikacji głosowej dla graczy, aby koordynować swoje wysiłki i dzielić się najlepszymi praktykami dotyczącymi różnych technik ataków, jak np. SQL Injection (SQLi), Local File Inclusion (LFi) i Cross-Site Scripting (XSS). Jak wskazuje raport, cyberprzestępcy najczęściej sięgali po metodę SQLi, która odpowiadała za 59 proc. ataków. Metoda ta wykorzystuje lukę w zabezpieczeniach aplikacji polegającą na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu danych użytkownika. Następnie dane te są później wykorzystywane do wykonywania zapytań (SQL) do bazy danych. Techniki LFi, skupiające się na ujawnieniu lub uruchomieniu plików na atakowanym serwerze sieciowym, były odpowiedzialne za prawie jedną czwartą wszystkich zdarzeń. Mniej popularną metodą wśród hakerów był XSS (8 proc.) polegający na osadzeniu w treści atakowanej strony kodu, który może spowodować niepożądane akcje na urządzeniach użytkowników, którzy wyświetlili i uruchomili złośliwy skrypt. Dzięki tej metodzie atakujący mogą obejść niektóre mechanizmy kontrolujące dostęp do danych użytkownika.

Credential stuffing coraz bardziej powszechny

Ataki na aplikacje webowe to jednak tylko wierzchołek góry lodowej. Kolejnym zmartwieniem branży gamingowej były ataki typu credential stuffing. To zautomatyzowane działanie polegające na próbach przejęcia dostępu do konta, podczas którego hakerzy wypróbowują hasła, które wyciekły już z innych serwisów i usług. W chwili, gdy cyberprzestępcy natrafią na właściwą kombinację danych uwierzytelniających, mogą przystąpić do wykorzystania danych osobowych ofiar. Tego rodzaju ataki stały się tak powszechne w ubiegłym roku, że masowe listy loginów i haseł można było kupić w dark necie za zaledwie 5 dolarów za milion rekordów. Akamai odnotowuje każdego dnia miliony takich ataków. Największą ich liczbę w ubiegłym roku odnotowano w kwietniu: 76 milionów, w październiku: 101 milionów i grudniu: 157 milionów.

Oprócz ataków na aplikacje webowe internetowych oraz ataków typu credential stuffing cyberprzestępcy przeprowadzali również ataki typu Distributed Denial-of-Service (DDoS). Chociaż rok do roku liczba ataków spadła o 20 proc., ataki DDoS na branżę gier stanowiły prawie połowę wszystkich ataków zaobserwowanych przez Akamai w 2020 roku.

Recykling i używanie prostych haseł sprawia, że credential stuffing jest stałym problemem i skutecznym narzędziem dla przestępców. Udany atak na jedno konto może narazić każde inne, na którym używana jest ta sama kombinacja nazwy użytkownika i hasła – komentuje Steven Ragan, badacz bezpieczeństwa i autor raportu.

Jak chronić swoje konta?

Przemysł gier komputerowych rozwija się bardzo dynamicznie. Popularne stały się również platformy dystrybucji cyfrowej, które są ściśle powiązane z naszymi osobistymi kontami i skrzynkami mailowymi. Warto dodać, że wielu użytkowników korzysta jednocześnie z kilku różnych platform oferujących tego rodzaju usługi. Posługując się wieloma kontami warto zadbać o należyte zabezpieczenia.

Wzrost liczby ataków typu credential stuffing można częściowo przypisać złym praktykom w zakresie higieny cybernetycznej, na które składa się używanie tych samych haseł na wielu różnych kontach internetowych, jak i używanie haseł łatwych do odgadnięcia. Gracze i użytkownicy Internetu powinni zacząć korzystać z uwierzytelniania wieloskładnikowego i menedżerów haseł, które znacznie zmniejszają szanse, że cyberprzestępcy pomyślnie przejmą kontrolę nad ich kontami i usługami – mówi Kamil Sadkowski, specjalista ds. cyberbezpieczeństwa ESET.