《Fortnite》盜帳為黑客帶來百萬美元年薪

單是未完結的 2020 年,已經有超過 20 億個外洩的《Fortnite》帳號在地下討論區上出售,並估計黑客從中獲得超過 100 萬美元的收入。

利潤龐大的盜帳市場
《Fortnite》在過去幾年人氣不斷飆升,現時全球有 3.5 億玩家,因此而吸引了網絡罪犯的注意,據報導,單純在 2020 年內於地下討論區出售的盜帳就有 20 億個,研究人員分析了 3 個月《Fortnite》包含高端和低端的帳號銷售,發現高端平均每週銷售額約 2.5 萬美元,以年計的話一年便大約 120 萬美元。

研究人員形容,盜帳的銷售比單純遊戲業巨大的多,然而黑市出售的《Fortnite》盜帳則是最具規模和最賺錢的帳號。《Fortnite》帳號的價值在於圍繞角色的虛擬裝束,玩家在遊戲內可以通過《Fortnite》的貨幣 V-Bucks 購買遊戲內的配件,部份罕有的裝束值很高價錢,其中「Recon Expert」裝束每個帳號約值 2500 美元。

簡單方法盜取帳號
黑客盜取《Fortnite》帳號的方法十分簡單,通常是以爆力破解和破解密碼的方法,用戶名稱和密碼能夠從其他公司外洩的數據中取得,再用來對照《Fortnite》帳號,發現不少人重複使用密碼。網絡罪犯有不同的工具令以上的方法更加方便,一個在地下黑客群中有名的密碼破解者 DonJuji 聲稱,高端《Fortnite》破解工具平均每分鐘檢查 1.5 至 2.5 萬個帳號 (即是約每秒 500 帳號)。

Epic Games 會限制單一 IP 嘗試登入次數以限制密碼破解的嘗試,但網絡罪犯透過自動代理伺服器流,透過每次嘗試產生新 IP 繞過防護機制。其中一個有名的《Fortnite》帳號檢查工具名為 Azenta (每月需付 15 美元),就能提供自動代理伺服器流轉功能,同時具備其他內置工具讓使用者檢查密碼和自動更改密碼。

網絡罪犯然後為這些成功入侵的帳號製作記錄,並轉售有關資料,在私人的 Telegram 頻道內,數千個被盜的帳號的記錄售價大約 1 至 5 萬美元,然後這些帳號會再從記錄中個別分拆出售,情況就像代理、經鎖商和客戶的關係,很多經銷商在網站上擁有自己的帳號商店,內裡有一系列的帳號出售,例如 Netflix、Disney+ 和 HBO Max 等等。

服務全面的盜帳銷售
盜帳銷售發展得具相當規模,甚至具備客戶服務和退貨規則,其中一個網站甚至設有一個名為「Community Checkup」的系統,用來監察在市場內的騙徒、賣家和買家行為以防止社群的規則被破壞。

根據報告,遊戲對網絡罪犯而言屬於極度賺錢,《Roblox》、《Runescape》和《Minecraft》都屬於地下討論區的「常客」。研究人員估計,在黑市遊戲帳號鎖售銷售市場全年的銷售金額可能高達 10 億美元。

持續成為攻擊對象
《Fortnite》曾經面對不同的保安事故,在 2018 年曾經有惡意的 Android 應用程式訛稱是《Fortnite》,但被發現會存取攝影機、掠奪和刪除裝置資料、盜錄受害者電話的聲音。在 2019 年Epic Games 修復了一個臭蟲可以讓黑客入侵數以百萬計帳號,盜取虛擬貨幣和販賣虛擬道具。同年也出現過一款名為「Syrk」的加密勒索程式,訛稱為遊戲修改工具誘騙玩家上當。

資料來源:Threat Post