游戏黑产:我还在空中跳伞,就被人用拳头远程打死
以前,有这么一个美得不行、工作又努力的市场妹子为了和大家做好朋友,刻苦钻研王者荣耀,并且积极邀请大家和她一起组队。 后来,妹子要离职了,临别时向一位宅男发出了来自灵魂的质问:“为什么每次我打王者荣耀发出组队请求时,你总是没有响应?”
宅男沉默三秒之后,耿直地表示:“我看了你的等级和战果,决定忽略你的组队请求……”
再美的妹子都不动心,宅男的目标是:打游戏就是要赢!所以,猪队友不可忍,但坑你的绝不止是猪队友。
最近, 腾讯安全云鼎实验 室安全研究员御风研究了游戏行业遭遇的安全威胁,他把研究结果分享给了雷锋网宅客频道,我们才了解到,朕能在游戏里打下江山,跨越了这么多坎,原来“总有刁民要害朕”。
1.抢劫帐号:100万个帐号有几千个帐号要遭殃
正常人可能手持1-2个手机,但有人有一堵手机墙。
哦不,是下面这个
一些打金工作室为了注册更多的机器人帐号,获取游戏里的金币等资产,常常给自己构建一张苹果墙或安卓墙。因为这些打金工作室的牟利方式之一是靠一些设备专门打游戏金币和装备,通过一系列小号进行交易,再汇总到某个帐号,卖给有需要的玩家,或者直接贩卖高级帐号。
但批量注册帐号好歹也要一些装备(成本),有没有更节省成本的方法?
有的,随着近年来黑市泄漏账号数据的广泛流通,攻击以撞库攻击和账号扫描为主,攻击成功后进一步进行资产窃取。
为了查清黑灰产利用撞库攻击等手段“抢劫帐号”的成功率,安全研究员想了一个办法,在网络上布置便宜的 蜜罐网络 吸引攻击者跳转,获取他们的流量,然后了解他们到底干了哪些事,有多高的成功率。
这个成功率居然在千分之二到千分之四之间。看上去,也不是让人惊悚的数据,但这个基数是庞大的,我们来算一笔账:如果攻击者撞了100万个帐号,就有几千个帐号中招,匹配密码成功,攻击者自然能横扫里面的资产。
御风年少时遇到的攻击者还在辛辛苦苦地开发木马,诱骗玩家中马,同时还要分析游戏的安全进程,从而抢劫帐号,没想到,现在在账号安全侧,撞库相关攻击实际占据了80%以上的份额。攻击者只要在愈演愈烈的数据泄漏中,从网站的登录接口,直接拿已经泄露的数据库进行查询即可。
这与早期以盗号木马为主的帐号类攻击形成了鲜明的对比。看来,攻击者已经把抢劫帐号这件事从智力劳动降低到了批量的“体力劳动”。
有意思的是,由于国内发达的黑产链条,国内游戏公司吸引了近 6 成的攻击量,而国外游戏公司的攻击很多也来自国内。国内游戏公司的攻击流量来源几乎全部源自于国内,源自海外的几乎可以忽略不计。其中以吉林、浙江、江苏、江西、广东等省份的来源为多,以上省份占了60%以上的攻击请求,国外游戏公司面对的攻击则来自各个国家,而源自中国的攻击流量也占据了半壁江山。
[国外游戏公司攻击来源分布]
和中国攻击者有同样志趣的也就只有隔壁的俄罗斯大兄弟了,闻名世界的乌克兰黑客似乎正忙着在军事上和其它黑客一较高下,没空搭理游戏行业。
雷锋网 (公众号:雷锋网) 编辑试图和御风一起梳理,为什么国内这样的黑产链条比较发达,我们找出了三个原因。
第一,国内游戏工作室雇佣成本低,在偏远地区 2000 块工资就能凑齐一波人。
第二,这种黑产链条分销渠道完整,上游打了东西出货给下游,你就不用管了,下游会帮你卖掉,比如,5173 这种简易的出货平台。。。有可能国外是没有的。
第三,萝卜青菜,各有所爱,其它黑客志向不同,不像中国游戏黑产立足脚下。
2.DDoS攻击:友商的拉客
女人最怕撞衫,游戏厂商难免撞款。
当然,我们不是指控所有的 DDoS 攻击都是友商所为,但这种情况不少见。
一般大游戏厂商+安全措施做得好的厂商还能扛住,但是没什么安全机制的小游戏厂商以及私服之间容易遭遇同行这样的问候——十分钟内,直接瘫痪掉游戏服务器,导致游戏玩家掉线、延迟、游戏系统假死等。
以前,攻击者调用互联网上的肉鸡组成僵尸军队,发起大规模攻击,但是组建以及维护僵尸网络都需要很高的成本,后来为了降低成本,获取更大的攻击效果,攻击者流行起用互联网开放服务器发起反射拒绝服务攻击。
比如,伪造成被攻击者的IP地址向互联网上大量的智能设备发起 SSDP 请求,接收到请求的智能设备根据源IP地址将响应数据包返回给受害者,SSDP 可把 DDoS 的攻击效果放大 30 倍。
御风研究发现,针对游戏行业的 DDoS 攻击还是主要以攻击带宽为主,以组合式攻击打出超大的流量堵塞宽带,其中各类反射类攻击占据一半以上。
其中,Memcached 反射攻击是新出现的一类方法,其效果可以放大超5万倍,换句话说,鸟枪换大炮。
这种打法大致就是,以前我不让你从超市大门进来购物,派了10个人把门堵住,现在我又是派人堵门,又是把共享单车、摩托车、小汽车都堆积在超市门口,还招来小摊小贩挡住。
游戏周边行业也成为了 DDoS 的新攻击目标,针对游戏的 DDoS 攻击不仅在新的 H5Game 上出现,而且逐渐向所攻击游戏的周边行业扩展,如游戏虚拟财产买卖、电竞、游戏资讯、游戏云服务等。攻击者除了针对某一游戏除进行主服务器、网络结点攻击外,还对“无辜的”第三方支撑与合作平台发起了攻击,真正实现了“我不但要搞你,还要全方位搞垮你” 。
为了不被警察蜀黍抓住,狡猾的攻击者还会将服务器迁到国内外不易察觉的地方,这些都是游戏行业发起 DDoS 攻击的攻击者经常藏匿 C2 服务器的地区和国家。。。
3.外挂:小学生赤手空拳打翻你
玩家小明刚投入感情到某游戏,就体验了“社会挂”的强大。
他一出飞机,还在空中跳伞,就被人用拳头远程打死……
这是什么鬼操作???小明甚至连死亡回放都看不了,哼,不服气,再来一次。
第二次,小明成功落地了,正兴冲冲地奔跑,突然被人从八百里外用冲锋枪爆了头。
游戏行业的外挂产业已经实现了“产业链化”,分工明确,不同的功能有不同的人做,最后呈现的效果就像拼积木一样,可以说,外挂可能是游戏黑产里最具技术含量、最复杂的领域,但是,现在的门槛已经大大降低。
“有人帮你想在游戏里做怎么样的功能可以赢利,有人能提供针对具体的一些功能的技术点分析,还有人卖数据,卖外挂后台,甚至能帮你实现外挂的防破解,加密网络通讯等模块都可出售。”御风说。
以流通渠道划分,神奇的外挂还可分为“玩家挂”和“工作室挂”。
所谓玩家挂,就是上游的外挂开发者将挂交给总代理去卖,总代下一堆的小代理,他们各自拉群宣传,辅助类的外挂几乎都得找这种玩家挂买。“工作室外挂”则更隐蔽,外挂开发者直接联系几个游戏工作室,让它们承包挂的销售,这种外挂不会在市面上流通,降低因为宣传被封禁的风险,拉长生存周期。
由于 PC 游戏热度降温以及手游交易系统的限制,2018 年外挂主要集中在手游的吃鸡类游戏上,而传统的打金类外挂热度占比已经很低。
也就是说,外挂已从“获取资产”逐渐向“增强玩家体验”转变——“打得爽”成了主流诉求。
偷偷告诉你外挂出现得最凶猛的游戏排名。如果你在这些游戏过程中遭遇了匪夷所思的对手,呵呵,就是它了!挂神的碾压会让你怀疑人生。
想好好玩个游戏居然这么不容易?是的,忧愁的不止是玩家,还有厂商。如果迈过了前面三道坎,还有一个坑:代充黑产。从最开始的外币汇率差、退款、36漏洞,再到黑卡、盗刷信用卡,甚至出现了专门的库存系统,造成游戏厂商损失惨重。
前面几种你可能都听说过,而所谓的“专门的库存系统”是指由于使用黑卡或盗刷信用卡,可能会在很短时间内被苹果封号。但黑客发现在苹果的购买流程中,如果把支付凭据截取下来,让流程不进入发货环节,充值商家等到有客户时候可以随时使支付凭据发货,完美绕过苹果风控系统,苹果结算时可能因此损失一大笔钱。
最后,你知道这类针对App store 的“苹果系”黑产主要分布在哪吗?
来个竞猜吧!
A.电信诈骗之乡福建龙岩
B.冷面哪里最正宗——吉林延边
C.没有听过,存在感不高的甘肃金昌,你不要为自己加戏了
D.旅游哪里去,广东江门欢迎你
E.说句天子脚下北京,会不会挨打?
F.北上广不爱你之深圳挽留你
友情提示:答案可能让你震惊到深深地怀疑这个世界,就在腾讯安全云鼎实验室发布的这个 报告 里了。
欢迎关注雷锋网宅客频道,微信号:letshome。
。