Dopo il suo debutto ufficiale nel 2017, il videogioco Fortnite è diventato un fenomeno mondiale. Con 350 milioni di giocatori registrati in tutto il globo – per la maggior parte ragazzi dai 18 ai 24 anni - e un giro d’affari che nel solo 2019 era valutato in quasi due miliardi di dollari, siamo di fronte a un vero e proprio fenomeno. Ma come spesso accade, quando si crea così tanto clamore – in particolare online – i Criminal Hacker si attivano.
Non dovrebbe sorprendere quindi che esista un mercato nero per Fortnite. Ma quello che impressiona è la dimensione e quanto questo possa essere redditizio. Alcuni Criminal Hacker riescono a intascare anche un milione di dollari all’anno semplicemente rivendendo gli account rubati grazie al valore che alcuni di questi hanno raggiunto. E ovviamente perché sanno come rubarli…
Non stiamo neanche parlando di qualche tecnica avanzata o malware di ultima generazione. Tutto inizia e finisce, a essere onesti, con la scarsa sicurezza dei parametri (user e password) dell'account quando si tratta di effettuare il login. Non è una novità che le combinazioni di nome utente e password, anche se non provenienti da Fortnite, rubate e pubblicate online a causa dei Data Breach vengano vendute online.
Quante combinazioni? Secondo uno studio molto recente, al momento, sul dark web sono presenti 15 miliardi di queste coppie, provenienti da oltre 100mila Data Breach che si sono succeduti nel corso degli anni. Il punto è che se riutilizziamo le stesse credenziali e le stesse password, per accedere a più di un account stiamo cercando guai. Basta che uno di questi siti o servizi venga hackerato e tutti gli altri sono vulnerabili ad un attacco. Questa tecnica di riutilizzo delle credenziali, nota come credential stuffing, utilizza i nostri dati per cercare di accedere ai nostri account di alto valore altrove. Banca, paypal… e adesso anche Fortnite.
E non dobbiamo neanche credere di poter rimediare con poco: anche utilizzando semplici varianti della stessa password, per esempio la numerazione incrementale (es. password, password2, password3…) non saremmo al sicuro. Per i Criminial Hacker testare queste variazioni è un gioco da ragazzi…
Gli strumenti del mestiere
Gli aggressori utilizzano strumenti per l'hacking in grado di controllare, in media, 500 combinazioni di password per violare gli account ogni secondo. Tra i Criminal hacker quelli di maggior successo sono coloro che comprendono la psicologia della creazione di password tra la popolazione generale, compresi i giocatori di Fortnite. Molte persone usano "piccoli e prevedibili cambiamenti" come l’utilizzo di maiuscole.
Certo, non è tutto rose e fiori per l'aspirante hacker di Fortnite. Epic Games (lo sviluppatore del gioco), per esempio, limita il numero di accessi consentiti per ogni indirizzo IP per evitare che si verifichi un tale “sondaggio automatizzato” dell'account. Ma gli aggressori sono comunque in grado di aggirare tali barriere pagando servizi di rotazione proxy, che possono emettere un nuovo IP per ogni richiesta di verifica dell'account.
L’unica buona notizia in questo caso è che questi strumenti non sono certo a buon mercato, parliamo anche di 10mila dollari al mese per un servizio del genere.
Il mercato
Insomma, proprio come per un business normale, per portare a termine queste attività c’è bisogno di un certo investimento iniziale. L’unica differenza, in questo caso, è che i Criminal Hacker possono essere quasi certi di un ritorno economico sostanziale. È stato stimato che un account su 10 di quelli che vengono violati abbia un valore “spendibile” tale da poter essere rivenduto.
Tutti questi account possono essere raggruppati insieme in una sorta di strana collezione nota come log per poi essere venduti per qualsiasi cifra a partire da 10mila dollari in su. Recentemente, per esempio, uno di questi log è stato venduto per 38mila dollari in un'asta privata “ospitata” su Telegram. Poi c'è il valore dell’account stesso. Se non è collegato a un account PlayStation Network esistente, il valore raddoppia rispetto a quello di un account collegato.
Supponiamo invece che l'account venga fornito con il "bonus" dell’accesso alla posta elettronica del proprietario. Questo, conosciuto non sorprendentemente come account ad accesso completo, assume un valore triplicato rispetto al normale. Un solo account ad accesso completo può essere venduto per 10mila dollari. I criminali di maggior successo in questo business illegale legato a Fortnite guadagnano, secondo un recente rapporto, una media di 25mila dollari a settimana, o più di 1 milione di dollari all'anno.
Anche nella parte più bassa, più normale, del mercato criminale, i Criminal hacker guadagnano 5mila dollari ogni settimana.
Come difendersi
In questo caso valgono i consigli universali per una buona gestione delle password.
Non prendere scorciatoie. Gli aggressori scopriranno i trucchi o gli schemi che usate per rendere le vostre password diverse, ma abbastanza simili da ricordarle facilmente. Utilizzare combinazioni uniche per ogni servizio a cui siamo abbonati/di cui facciamo uso e abilitare – dove possibile – l’autenticazione a due fattori potrebbe veramente evitarci conseguenze anche ben peggiori del perdere l’account di Fortnite…