I videogame da tempo si giocano a distanza, sfidando avversari spaparanzati in poltrona o seduti alla scrivania in chissà quale angolo del mondo. È un contesto affollato più di quanto si possa immaginare e in cui le comunità abbondano catalizzando l’attenzione degli appassionati. Tra le competizioni virtuali maggiormente diffuse c’è Fortnite, che offre – con il medesimo motore grafico – due accattivanti modalità di gioco. Sviluppato da Epic games e People can fly, Fortnite con i suoi 80 milioni di giocatori rappresenta un fenomeno tutt’altro che trascurabile. Da qualche giorno l’ambiente degli entusiasti utilizzatori di questo videogioco è in fibrillazione perché gli hacker li hanno presi di mira, trovando maniera di rubare dati personali e mettere in difficoltà una platea davvero sterminata.
La disavventura comincia con una serie di vulnerabilità (oggi fortunatamente scoperte dai ricercatori dell’azienda di sicurezza informatica CheckPoint) che sono state sfruttate dai pirati hi-tech per accedere illecitamente agli account (ovvero alle schede di iscrizione) degli utenti che utilizzano la piattaforma di Fortnite. Il profilo dei giocatori online è particolarmente ricco di informazioni e quindi si prospetta molto appetibile per i malintenzionati. L’account, infatti, non riporta soltanto le generalità anagrafiche dell’iscritto o i suoi recapiti di posta elettronica, ma include una serie di dati sensibili tra cui spiccano le password per giocare via Internet (che potrebbero coincidere con quella della mail o di altri servizi digitali) e i riferimenti della carta di credito. Quest’ultimo elemento è ovvio si trovi in quel contesto perché quelle coordinate finanziarie sono indispensabili per il giocatore che vuole acquistare moneta virtuale, oppure pagare strumenti e accessori che possono agevolarlo nelle partite cui vuole partecipare.
Il pirata informatico – difficilmente interessato a rubare risultati, punteggi e livelli acquisiti dalla sua vittima – è in grado di entrare in possesso di tanti dettagli che consentono di portare a termine furti di identità e tante altre malefatte. Se si considera che Fortnite permette ai suoi giocatori di “scendere in campo” (niente di politico, state tranquilli, ce ne sono già troppi) utilizzando il log in (ovvero la verifica delle autorizzazioni di accesso) di soggetti terzi, ci si rende conto della possibile dilatazione del pericolo. I fedelissimi di questo videogame possono presentarsi a giocare entrando dai varchi virtuali di Facebook, Google, Xbox e Playstation, e questo permette di capire quali temibili travasi di dati si vadano a prefigurare.
Nella fattispecie, i moderni briganti entrano in azione inoltrando una pioggia di email a soggetti reputati rientrare nel novero dei giocatori di Fortnite. Il messaggio di posta elettronica (erede del tradizionale traffico di corrispondenza del phishing) contiene un indirizzo Internet maligno, ovvero corrispondente a un link che dirotta l’ignaro utente verso una destinazione poco raccomandabile, ma all’apparenza corrispondente a quella normalmente adoperata per giocare. Una complessa alchimia di Sql injection e di cross-site scripting (cose da smanettoni di cui evito la spiegazione) garantisce il saccheggio dei dati personali e l’atmosfera della scorribanda hacker è ben peggio di quella del videogame.
Nonostante la Battaglia Reale di Fortnite sia ambientata su un’isola in cui ben 100 giocatori (autonomamente, in coppia o in squadre di tre o quattro persone) combattono per la sopravvivenza, chi si trova a duellare con i criminali del web sa che stavolta non è un gioco. Lo scudo per difendersi da pericolosi dirottamenti su siti trappola e da altri colpi bassi è rappresentato dalla – ora come non mai raccomandatissima – autenticazione a due fattori (2FA) che prevede che l’accesso non si basi solo sull’uso della password ma sia preceduto anche dalla digitazione di un codice di sicurezza (utilizzabile una volta soltanto) ricevuto nella propria casella di posta elettronica.