Dopo il suo debutto ufficiale nel 2017, il videogioco Fortnite è diventato un fenomeno mondiale, con 350 milioni di giocatori registrati in tutto il globo – per la maggior parte ragazzi dai 18 ai 24 anni – e un giro d’affari che nel solo 2019 era valutato in quasi due miliardi di dollari. Un fenomeno mondiale dunque, che non poteva nona ttirare l’attenzione anche dei cybercriminali. Non dovrebbe sorprendere quindi che esista un mercato nero per Fortnite. Ma quello che impressiona è la dimensione e quanto questo possa essere redditizio, con hacker che riescono in alcuni casi a intascare anche un milione di dollari all’anno, semplicemente rivendendo gli account rubati grazie al valore che alcuni di questi hanno raggiunto. Il tutto senza nemmeno bisogno di usare tecniche avanzate o malware di ultima generazione: è sufficiente infatti saper sfruttare la scarsa sicurezza dei parametri come user name e password degli account.
I profili rubati sono poi venduti sul dark web, dove attualmente secondo alcuni studi sarebbero presenti 15 miliardi di questi dati, provenienti da oltre 100mila violazioni di dati che si sono succeduti nel corso degli anni. Il punto è che se riutilizziamo le stesse credenziali e le stesse password, per accedere a più di un account stiamo cercando guai. Basta che uno di questi siti o servizi venga hackerato e tutti gli altri sono vulnerabili ad un attacco. Questa tecnica di riutilizzo delle credenziali, nota come credential stuffing, utilizza i nostri dati per cercare di accedere ai nostri account di alto valore altrove. Banca, PayPal, e adesso anche Fortnite.
E non bisogna neanche credere di poter rimediare utilizzando semplici varianti della stessa password, per esempio la numerazione incrementale (es. password, password2, password3…), perché per gli hacker testare queste variazioni è un gioco da ragazzi, grazie a strumenti in grado di controllare, in media, fino a 500 combinazioni di password ogni secondo.
Epic Games, lo sviluppatore di Fortnite, ha cercato di limitare il numero di accessi consentiti per ogni indirizzo IP, proprio al fine di evitare che si verifichi un tale “sondaggio automatizzato” dell’account. Ma gli aggressori sono comunque in grado di aggirare tali barriere pagando servizi di rotazione proxy, che possono emettere un nuovo IP per ogni richiesta di verifica dell’account. mercato
Fortunatamente, per portare a termine queste attività c’è bisogno di un certo investimento iniziale che, a seconda degli strumenti acquistati, può raggiungere anche decine di migliaia di dollari, anche se il ritorno è quasi sempre assicurato. Recentemente per esempio uno dei log che raccolgono centinaia di questi dati è stato venduto per 38mila dollari in un’asta privata “ospitata” su Telegram, ma un solo account ad accesso completo, ossia che offre accesso anche ad altri servizi dell’utente, può essere venduto per 10mila dollari. difendersi
Per proteggersi valgono come sempre i consigli universali per una buona gestione delle password, come ad esempio non riutilizzare la stessa password per il login a più servizi o semplici varianti della stessa password o, ancora peggio, una sola password particolarmente semplice, come quelle composte da parole scontate o semplici progressioni numeriche. Gli utenti dovrebbero invece imparare a usare combinazioni uniche per ogni servizio di cui si fa uso, abilitando anche, dove possibile, l’autenticazione a due fattori, in modo da evitare conseguenze ben peggiori del perdere l’account di Fortnite.