Hráči Fortnite a Roblox pozor, lákavá odmena vám môže vybieliť bankový účet!

Nič nie je zadarmo, ani virtuálne meny V-Bucks a Robux z hier Fortnite a Roblox, ktoré podľa bezpečnostných analytikov útočníci vo veľkom zneužívajú na šírenie malvéru a krádež osobných údajov.

Falošné videoherné odmeny sú podľa zistenia bezpečnostného analytika šírené aj prostredníctvom kompromitovaných štátnych a vzdelávacích stránok .gov, .org a .edu.

Bezpečnostný analytik Zach Edwards strávil posledné tri roky monitorovaním rozsiahlej siete podvodných webových stránok, ktoré pod zámienkou falošných odmien získavajú od používateľov citlivé údaje, šíria prostredníctvom nich malvér alebo ich donútia stiahnuť si do zariadenia škodlivú aplikáciu.

Tieto webové stránky lákajú používateľov na bezplatné streamovanie nových filmových trhákov, ako sú Barbie či Ippenheimer, ponúkajú im bezplatne virtuálne meny do populárnych videohier alebo skiny. Vo väčšine prípadov sú tieto stránky svojim obsahom cielené na deti, ktoré si bez dovolenia rodičov zvyčajne virtuálny obsah do hier zaobstarať nemôžu.

Dostať medzi používateľov a do výsledkov vyhľadávania odkazy na takéto stránky by však bolo štandardne pomerne náročné, na jednej strane kvôli ostražitosti používateľov, na druhej kvôli filtrovaniu takýchto stránok zo strany Google.

Útočníci preto na tieto podvodné stránky používateľov posielajú prostredníctvom tzv. „otrávených PDF súborov“, ktoré sa im vďaka rôznym bezpečnostným zraniteľnostiam darí umiestňovať na legitímne webové stránky verejných inštitúcií.

Po sérii presmerovaní, sa používatelia dostanú na webovú stránku, kde ich už od vytúženej odmeny delí iba zopár krokov. Zvyčajne stačí, aby stránke poskytli svoje osobné údaje, prihlasovacie údaje k online účtom, údaje o platobnej karte alebo si do zariadenia stiahli nejakú aplikáciu. Ako však ukázal dôkladný výskum, v žiadnom z tisícov pokusov sa používateľ k žiadnej odmene samozrejme nedostal.

Zaujímavé je, že všetky tieto odkazy smerujú na reklamnú platformu spoločnosti CPABuild, ktorá sa zaoberá affiliate reklamou a prevádzkou takýchto „podmieňovacích“ stránok. Oficiálne sídli v americkom štáte Nevada a od roku 2016 údajne svojim partnerom vyplatila odmeny v celkovej výške 40 miliónov dolárov. Ilegálnu činnosť však tvrdo odsudzuje.

Na webovej stránke spoločnosti je uvedené, že aktívne bojuje proti zneužívaniu jej platformy na nekalé účely a takéto webové stránky aktívne maže. Buď v tom však masívne zlyháva, alebo sú tieto tvrdenia iba zásterkou. Portál Wired, ktorý sa téme venoval, sa totiž spoločnosť snažil vo veci opakovane kontaktovať, no CPABuild hrá rolu mŕtveho chrobáka.

Zach Edwards v priebehu troch rokov upozornil viacero organizácií na zneužitie ich webových stránok na šírenie tohto typu podvodu, pričom väčšina z nich „otrávené PDF súbory“ obratom zo svojich serverov zmazala. Podľa ich výskumu k inému naručeniu kybernetickej bezpečnosti organizácií či odcudzeniu citlivých dát údajne nedošlo. Podvodníci bezpečnostnú zraniteľnosť skutočne využili iba na šírenie oných PDF súborov.

Edwardsov výskum však pokrýva iba jeden z mnohých typov podvodov, ktoré sa spájajú práve s videohrami populárnymi medzi mladšími a teda menej ostražitými používateľmi. Už aj deti teda treba v rámci pohybu vo virtuálnom priestore naučiť, že pokiaľ niečo znie príliš dobre na to, aby to bola pravda, zrejme to pravda nebude, či už na bezplatné V-Bucksy narazili cez Google alebo ich na takýto odkaz láka nejaký YouTuber.