Против взлома есть приемы: как защитить игровой аккаунт от хакеров
Ночной кошмар любого геймера: захотелось перепройти третьего «Ведьмака», погонять в GTA: San Andreas или, тряхнув стариной, накатить второй Fallout. Включаешь компьютер, заходишь в Steam - и выясняется... В аккаунте хозяйничает кто-то другой, а законный владелец даже не может залогиниться! Разумеется, ушлый хакер первым делом сменил пароль и почту, чтобы раз и навсегда отсечь вас от добросовестно купленных игр, карточек и ящиков со скинами и шляпами.
Думаете, это просто страшилки? Если бы! В компании Valve приводят неутешительные цифры: каждый месяц злоумышленники «уводят» в среднем 77000 чужих страниц со всем имуществом. На кражи жалуются и владельцы Origin, «родного» клиента Electronic Arts, и Uplay от Ubisoft. Гордые хозяева консолей, не спешите расслабляться! Шансы лишиться Xbox Live или PlayStation Network есть и у вас.
Воровство аккаунтов с их последующей перепродажей - серьезный бизнес. Чтобы в этом убедиться, достаточно сделать в Google соответствующий запрос. В ответ будет выдано множество сайтов с ассортиментом, от которого разбегаются глаза. Хотите впечатлить друзей выслугой лет в Steam? Пожалуйста, цена вопроса - каких-то 400 рублей. Мечтаете заценить Prey и Ghost Recon Wildlands на PlayStation 4, но жаба душит отдавать за них восемь тысяч в сумме? Без проблем, «добрые люди» подгонят штуки за две. Всегда мечтали собрать полную коллекцию шляп в Team Fortress 2, но не собираетесь покупать их у Гейба? Любой каприз за ваши деньги! От клиента требуется только платить, не спрашивая, откуда дровишки, и не возмущаться, когда служба поддержки таки отрубит ему доступ, а ушлый продавец умоет руки. Или в лучшем случае предложит купить новый аккаунт с прокачанными скиллами. Разумеется, тоже ворованный.
Правила взлома
Чтобы вдоволь порезвиться в чужом Origin, Xbox Live или PSN, не надо проявлять чудеса изобретательности. Большинство хакеров обходится простыми, но действенными способами. Перечислим наиболее распространенные.
Фишинг (phishing) - не зря созвучно английскому слову «рыбалка». Потенциальным жертвам закидывают приманку и ждут, пока кто-нибудь клюнет. Чаще всего это массовая рассылка с адреса, очень похожего на настоящий. Представляясь администрацией сервиса (спасибо, что не Гейбом Ньюэллом и Казом Хираи, хотя некоторые оригиналы и этим не брезгуют), обманщики просят пройти по ссылке и авторизоваться на сайте - например, чтобы поучаствовать в конкурсе или просто подтвердить безопасность аккаунта. Ссылка вроде бы ведет на Steam и подозрений не вызывает. Да и сайт выглядит до того похоже, что сам Гейб не отличит - сделать копию нужной страницы по нынешним временам работа на пару часиков. И только самые внимательные заметят, что им подсунули не steamcommunity.com, a какой-нибудь steamecommunity.com или steamcommonity.com.
Другой популярный способ фишинга - сыграть на неискоренимой тяге к халяве. Достаточно раскидать повсюду ссылки вроде «Генератор золота для WoW!!!ГАРАНТИЯ 100%!!!» или «ВАУ!!! Бесплатные скины для CS:GO!!!!111». Все, что нужно, чтобы получить плюшки - пройти по ссылке и ввести логин с паролем. Вот только реальные плюшки достанутся взломщикам, с которыми вы - заметьте, добровольно! - поделились личной информацией. Метод простой, и до сих пор работает - всегда отыщется чайник, который поведется на обещанные ему горы золота.
Вредоносное ПО. Имя подобным программам - легион, но наиболее распространенные - кейлоггеры. Простота обеспечила им народную любовь: написать такую софтину может даже начинающий кулхацкер. Кейлоггеры «запоминают» все, что вы вводите с клавиатуры, и передают эту информацию злоумышленнику. Естественно, среди всего, что вы печатаете, рано или поздно окажутся и пароль с логином - а преступнику только этого и надо. Подобного рода программы распространяются в среде геймеров под видом «читов», «генераторов» и прочих свистелок и звенелок.
Впрочем, одними кейлоггерами дело не ограничивается. Последние пару лет у малолетних хакеров популярна Steam Stealer - она может воровать не только аккаунты, но и отдельные предметы из инвентаря. Программа частенько маскируется под любимые геймерами клиенты вроде TeamSpeak и Razer Comms - скачивая ее, многие и не подозревают, что на самом деле устанавливают вирус. Steam Stealer дешева и проста в обращении - за рабочий вариант с вас попросят около 200 рублей, а за версию с исходным кодом и мануалом - 450. Для рынка зловредного ПО, где цены начинаются с 500 долларов за программу, это практически копейки, которые окупаются очень быстро - украденное можно продать чуть ли не сразу же. Не программа, а прямо-таки мечта.
Уязвимости сторонних сервисов. Даже если вы не покупаетесь на обещания халявы и не ходите по сомнительным интернет-закоулкам, взломщики могут получить доступ к вашим данным. Ведь вы зарегистрированы не только на Steam, Google Mail и форуме 4PDA - каждый хоть раз покупал что-нибудь в Ozon, заказывал мелочевку с AliExpress, искал билет подешевле через какой-нибудь Momondo. Сейчас онлайн-регистрация есть практически у всего - и, чтобы не ломать голову, многие везде вводят одни и те же комбинации цифр, букв, девичью фамилию матушки и кличку любимого кактуса.
Но даже самые крупные сайты и сервисы не всегда выдерживают атаки, цель которых - получить доступ к данным пользователей (прежде всего, разумеется, к их кредиткам). Эти данные потом частенько оказываются в даркнете, где их за не слишком большую плату могут купить все желающие. И хакер, знающий всего лишь один пароль, получает доступ ко всем вашим страницам - а в особо тяжелых случаях и к почте, и к платежным реквизитам.
Уязвимости клиентов. Когда речь идет о крупных сервисах уважаемых компаний, вроде той же Valve или Sony, хочется думать, что уж они-то не накосячат с защитой. Но и на старуху бывает студент. Например, год назад из-за проблем с кэшем Steam можно было случайным образом попасть в чужой аккаунт - чем некоторые не обремененные совестью личности тут же воспользовались.
Последний скандал вокруг платформы разгорелся в феврале этого года - из-за дыры в XSS даже просмотр собственной ленты обновлений или чужого профиля мог обернуться проблемой. Злоумышленнику достаточно было оставить на своей странице сообщение с командой, например, на JavaScript. Клиент Steam исполнял ее автоматически, без каких-либо уведомлений - и мог перенаправить на страницу, содержащую более опасные вирусы.
Ну и как забыть про «великий взлом 2011 года», когда хакеры положили серверы Sony и украли данные 77 миллионов пользователей PSN? Так группа Anonymous решила отомстить японской корпорации за попытку засудить Джорджа Хотца по прозвищу Geohot. Ему удалось взломать PlayStation 3 и запустить собственные программы - а это значило, что приставка сможет запускать и пиратские игры.
Что делать, если вас взломали?
Если самое худшее все же произошло - прежде, чем звать на помощь, лучше сперва проверить компьютер (а заодно и смартфон) антивирусом и сменить пароль электронной почты. После можно и пообщаться с сотрудниками техподдержки разной степени приветливости.
Самый удобный сервис, наверное, у PlayStation Network - можно звонить круглосуточно, можно писать на почту, и вам ответят очень быстро, причем по-русски. Xbox Live рассматривает жалобы через чат, Twitter и форум, но все три - только по-английски, а Twitter отвечает на запросы лишь в определенные часы по местному времени. Впрочем, при необходимости вам могут и позвонить, но звонок надо запрашивать самому. И таки да, разговорный английский тоже самому осваивать. В Origin можно обратиться по телефону - звонки принимаются с 11:00 до 19:00 по московскому времени. Есть и общение через чат (опять же, на языке Альбиона).
А вот со Steam вам, скорее всего, придется вести долгую переписку - техподдержка Valve славится своей неторопливостью, тем самым основательно понижая ценность в остальном очень удобного сервиса. Готовьтесь к тому, что восстановить аккаунт получится далеко не всегда. А если предыдущий «владелец» успел словить бан от VAC (фирменной защиты от читов в мультиплеере), снять его уже никакими заклинаниями не удастся.
Как защитить себя?
К сожалению, универсальной защиты от киберпреступников по сю пору не изобрели (мы дадим знать, когда это счастье произойдет). Но есть проверенные временем советы, которые помогут оградить карман и технику от нехороших людей.
Установите двухэтапную аутентификацию. Она сейчас есть практически у всех игровых сервисов. Да, придется хвататься за смартфон по малейшему поводу (например, если заходите с другого компьютера или пытаетесь загнать какую-нибудь мелочь из внутриигрового инвентаря) - но оно того стоит. Двухэтапная аутентификация - едва ли не самый надежный из доступных способов защиты от взлома.
Используйте менеджеры и генераторы паролей. Хорошая защита и от кейлоггера, и от брутфорса. Менеджер - программа, которая хранит все ваши пароли (вам нужно будет запомнить только один - от самого менеджера) и вводит их сама, так что злоумышленники не смогут получить их через кейлоггер. А генератор составляет комбинации, подобрать которые просто так не получится. Если вы особенно переживаете за свое добро - выбирайте варианты с дополнительной защитой, вроде входа по отпечатку пальца.
Не открывайте подозрительные файлы. Даже в безобидную с виду PDF-ку можно засунуть вирус, который наделает немало бед. Открывайте только то, что хорошенько обнюхано антивирусом и/или получено из проверенного источника.
Не ходите по сомнительным ссылкам. И не ленитесь лишний раз взглянуть на адресную строку браузера - убедиться, что вас действительно приглашают на нужный сайт, а не к хакерам на раздачу аккаунтов.
Не вводите данные куда попало. Помните: настоящие службы поддержки никогда не попросят вас залогиниться на каком-то стороннем сайте или через почту, да и вообще никогда не станут требовать персональные данные в письме или сообщении. Не нажимайте на ссылки из подобных писем, а если часом угораздило - ни в коем случае не набирайте логин и пароль! Просто закройте страницу, а еще лучше - очистите кэш браузера после этого.
Пользуйтесь антивирусом. Да, они стоят денег, тормозят компьютер во время проверок и действуют на нервы регулярными предупреждениями. Зато экономят кучу времени, нервов и средств в долгосрочной перспективе. Если раскошеливаться не желаете из принципа, установите бесплатные варианты - ту же Avira.
Не ведитесь на халяву. Именно на это и рассчитывают хакеры, когда сулят генераторы игровой валюты, читы и прочее. Помните: если предложение звучит слишком хорошо - где-то в нем скрыт не только сыр, но и давилка с пружиной.