{"id":15931,"date":"2020-08-21T16:31:41","date_gmt":"2020-08-21T19:31:41","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15931"},"modified":"2020-11-27T13:45:07","modified_gmt":"2020-11-27T16:45:07","slug":"wow-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/wow-phishing\/15931\/","title":{"rendered":"Como cibercriminosos est\u00e3o atacando jogadores de WoW"},"content":{"rendered":"

As contas no Battle.net<\/a> s\u00e3o valiosas para invasores. Eles podem us\u00e1-la para obter acesso a jogos comprados, bem como a personagens, moedas e itens de um jogo.<\/p>\n

Os invasores ainda podem causar muitos transtornos, ent\u00e3o \u00e9 melhor agir agora para evitar ser alvo de ataques mais tarde. Para que voc\u00ea tamb\u00e9m possa escapar dessa situa\u00e7\u00e3o desagrad\u00e1vel, vou contar o que aprendi com uma tentativa de sequestro da minha conta Battle.net por meio de phishing<\/a> no World of Warcraft Classic.<\/p>\n

O esquema de roubo de conta \u201cBizarrd\u201d<\/h2>\n

Phishing costumava ser um problema bastante comum na vers\u00e3o original do World of Warcraft. No entanto, n\u00e3o havia me deparado com esse tipo de golpe no recentemente lan\u00e7ado World of Warcraft Classic<\/em> \u2013 at\u00e9 que algum guerreiro chamado \u201cBizzard\u201d me enviou uma mensagem: \u201c[Blizzard Entertainment] GM: Viola\u00e7\u00e3o: exploit econ\u00f4mico. Por favor visite [www.blizzardwarcraft.com]. Caso contr\u00e1rio, suspenderemos sua conta. \u201d<\/p>\n

\"Mensagem

Mensagem de phishing dentro do pr\u00f3prio World of Warcraft Classic<\/p><\/div>\n

Dizer que havia algo suspeito nessa mensagem seria um eufemismo. Para come\u00e7ar, \u00e9 dif\u00edcil acreditar que um verdadeiro administrador do jogo da Blizzard Entertainment falaria sobre viola\u00e7\u00f5es como \u201cexploits econ\u00f4micos\u201d usando um nome de personagem que era semelhante, mas n\u00e3o id\u00eantico ao nome da empresa e informava a um jogador que deveria visitar um determinado site. Al\u00e9m disso, apenas para constar, n\u00e3o cometi nenhuma viola\u00e7\u00e3o.<\/p>\n

Normalmente ignoro essas mensagens, mas desta vez fiquei curioso e decidi investigar como esse esquema funcionava. Primeiro, verifiquei o link usando os servi\u00e7os Whois, porque reconheci que o dom\u00ednio n\u00e3o era um dos pertencentes \u00e0 Blizzard (como blizzard.com, battle.net ou worldofwarcraft.com). Al\u00e9m de questionar a legitimidade do site em quest\u00e3o, faltava um certificado de seguran\u00e7a.<\/p>\n

Como eu suspeitava, o blizzardwarcraft.com que o poderoso Bizzard queria que eu visitasse estava registrado h\u00e1 menos de uma semana. Al\u00e9m disso, os invasores nem se esfor\u00e7aram muito para encobrir seus rastros: o dom\u00ednio foi registrado por algu\u00e9m da prov\u00edncia chinesa de Anhui, por meio do registrador de Hong Kong Hongkong Domain Name Information Management Co., Ltd.<\/p>\n

\"Compara\u00e7\u00e3o

Compara\u00e7\u00e3o do site falso da Blizzard com o real<\/p><\/div>\n

No entanto, o site de phishing parece convincente. Sua apar\u00eancia \u00e9 bastante semelhante \u00e0 p\u00e1gina de login leg\u00edtima eu.battle.net<\/em>. Mas a identifica\u00e7\u00e3o de verifica\u00e7\u00e3o de seguran\u00e7a, foi formatada com fonte e cor erradas, estragando um pouco a apar\u00eancia. E as op\u00e7\u00f5es de login do Facebook e Google n\u00e3o funcionam, como voc\u00ea j\u00e1 deve suspeitar. No entanto, quase todos os outros links nesta p\u00e1gina fraudulenta levam a sites reais da Blizzard. Vale ressaltar a nacionalidade n\u00e3o era consistente: alguns s\u00e3o europeus, outros americanos.<\/p>\n

Decidi continuar minha investiga\u00e7\u00e3o para ver exatamente como o invasor tentaria sequestrar minha conta. Bem na p\u00e1gina falsa, cliquei no link \u201cCriar uma conta gratuita da Blizzard\u201d (que funcionou; o link levava ao site genu\u00edno) e me inscrevi para uma nova conta. Tendo me preparado para meu experimento, entreguei minha conta e senha rec\u00e9m-criadas para os invasores.<\/p>\n

Depois de inserir minhas credenciais na p\u00e1gina falsa, os criadores do site me pediram para ajud\u00e1-los a proteger minha nova conta realizando uma verifica\u00e7\u00e3o r\u00e1pida. Para fazer isso, \u00e9 claro, tive que inserir um c\u00f3digo de verifica\u00e7\u00e3o enviado por e-mail. Este c\u00f3digo veio do endere\u00e7o real da Blizzard.<\/p>\n

Eu havia antecipado essa etapa e, assim que inseri minhas credenciais na p\u00e1gina falsa, os invasores imediatamente as inseriram no site real. Mas tamb\u00e9m precisaram inserir um c\u00f3digo de verifica\u00e7\u00e3o. A Blizzard enviou para o meu e-mail, mas os invasores precisavam obt\u00ea-lo de mim. Claro, segui o jogo e digitei o c\u00f3digo na p\u00e1gina falsa.<\/p>\n

Al\u00e9m disso, por algum motivo, me pediram para responder a uma pergunta secreta na p\u00e1gina final. A verdade \u00e9 que, quando me inscrevi, n\u00e3o cadastrei perguntas secretas. Mas n\u00e3o se preocupe: eu estava pronto para dar uma resposta.<\/p>\n

\u201cVerifica\u00e7\u00e3o de seguran\u00e7a\u201d na p\u00e1gina falsa da Blizzard<\/p><\/div>\n

\u00a0<\/p>\n

Fui informado de que havia sido aprovado na verifica\u00e7\u00e3o. Como voc\u00ea pode esperar, ao mesmo tempo, outra pessoa fez login em minha nova conta (o endere\u00e7o IP colocou-a na cidade alem\u00e3 de Brandenburg, mas \u00e9 improv\u00e1vel que o invasor estivesse realmente se conectando de l\u00e1; provavelmente estava usando um servidor proxy, VPN , ou outros meios de mascarar virtualmente sua verdadeira localiza\u00e7\u00e3o).<\/p>\n

Primeiro, algu\u00e9m se conectou por meio do aplicativo Battle.net e, em seguida, acessou a interface web. Presumo que isso tenha acontecido porque os hackers n\u00e3o encontraram nenhum personagem World of Warcraft<\/em> em minha conta Battle.net e decidiram verificar a conta usando a vers\u00e3o web.<\/p>\n

\"Atividade

Atividade de login recente no site verdadeiro da Blizzard<\/p><\/div>\n

Ap\u00f3s cerca de duas horas e meia, a Blizzard me enviou uma notifica\u00e7\u00e3o de que minha senha havia sido redefinida devido a uma atividade suspeita. Aparentemente, as defesas internas do Battle.net determinaram que outra pessoa teve acesso \u00e0 minha conta e entraram em a\u00e7\u00e3o para me proteger dos intrusos. Como voc\u00ea pode ver, a Blizzard faz um bom trabalho em manter seus usu\u00e1rios seguros.<\/p>\n

Como evitar se tornar uma v\u00edtima de ataques phishing no World of Warcraft<\/h2>\n

\u00c9 improv\u00e1vel que o ataque que experimentei seja a \u00faltima tentativa de phishing no World of Warcraft Classic<\/em>. Para minimizar os danos das a\u00e7\u00f5es de intrusos, bem como para tornar o jogo mais seguro para todos, tenha algumas coisas em mente:<\/p>\n