Угрозы безопасности информации на игровых сервисах и методы защиты от них | Статья в журнале «Молодой ученый»

Авторы: ,

Рубрика: Информатика

Опубликовано в Молодой учёный №6 (110) март-2 2016 г.

Дата публикации: 17.03.2016

Статья просмотрена: 120 раз

Библиографическое описание:

Варлатая С. К., Колесникова Д. С. Угрозы безопасности информации на игровых сервисах и методы защиты от них // Молодой ученый. — 2016. — №6. — С. 41-44. — URL https://moluch.ru/archive/110/27080/ (дата обращения: 22.07.2018).



В данной статье рассмотрены основные виды угроз безопасности информации пользователей на игровых сервисах, способы реализации таких угроз и методы защиты от них.

Ключевые слова: игровой сервис, видеоигры, фишинг, DDoS-атака, социальная инженерия, атака грубой силой, информационная безопасность.

В наши дни видеоигры являются одним из главных видов развлечений среди современной молодёжи. Раньше пользователи — геймеры приобретали компьютерные игры на физических носителях (дискеты, картриджи, компакт-диски и т. д.) в магазинах своего города, сейчас же можно воспользоваться компьютером, имеющим выход в сеть Интернет, и, не выходя из дома, проделать несколько несложных операций для покупки желаемого товара. В связи с этим становятся популярными различные сервисы цифрового распространения игр и программ, такие как Steam, Origin, PSN и многие другие, которые предоставляют своим пользователям возможность покупать и своевременно обновлять игры, осуществлять игровые взаимодействия по сети Интернет и общаться с другими игроками. На игровых сервисах пользователь должен зарегистрироваться в системе, то есть разместить свои личные данные, которые необходимо защищать от неправомерных действий киберпреступников.

При регистрации и осуществлении основных функций на крупных игровых сервисах пользователю необходимо ввести следующие данные:

 логин;

 пароль;

 адрес электронной почты;

 имя пользователя;

 дата рождения;

 данные банковской карты;

 адрес (страна, город).

Для создания аккаунта обычно требуется только адрес электронной почты, логин и пароль, но даже эту информацию опытный киберпреступник может выгодно использовать в случае удачной попытки её хищения.

Все эти данные так или иначе представляют ценность для злоумышленников. Основные угрозы безопасности информации пользователя игрового сервиса:

 хищение информации пользователей и её последующее распространение или использование в незаконных целях;

 взлом аккаунта с целью его дальнейшей перепродажи. Это касается, в основном, аккаунтов опытных игроков, которые имеют на своём счету месяцы, проведённые в виртуальном мире, большое количество игр, находящихся в их распоряжении, а также награды, за которыми так гонится каждый заядлый игрок;

 заражение компьютеров пользователей вирусами;

 взлом игрового аккаунта с целью проникновения в более важные аккаунты. Если использовать один и тот же пароль или варианты одного и того же пароля в нескольких разных аккаунтах, то злоумышленники могут использовать данные, приобретенные от взлома игрового сайта, чтобы, например, получить доступ к банковским или связанным с электронной коммерцией счетам.

Основным источником рассматриваемых угроз являются преднамеренные действия нарушителей и злоумышленников. Способы реализации данных угроз безопасности информации пользователей игровых сервисов представлены на рисунке 1.

Рис. 1. Способы реализации угроз

Одним из способов, с помощью которого злоумышленники приобретают имена пользователей и пароли, является фишинг (phishing). При данном виде мошенничества хакеры массово рассылают пользователям электронные письма, которые содержат ссылки на фишинговые сайты — то есть сайты, маскирующие себя под официальные бренды. На таких сайтах злоумышленники, зачастую прибегая к психологическим приёмам, побуждают своих жертв ввести используемые на игровом сервисе логин и пароль, которые в дальнейшем можно использовать для получения доступа к другим аккаунтам и банковским счетам. Фишинг не является технологически сложной атакой, и если хакеры смогут сделать качественную и хорошо оформленную приманку, то неизбежно, что на неё попадутся невнимательные пользователи [1].

Действенным методом в борьбе с фишингом является обучение пользователей распознавать такого рода атаки. Для этого необходимо внимательно прочитывать адрес сайта, ссылка на который указана в электронном письме, и проверять данный адрес на наличие ошибок, ведь, как правило, злоумышленники добавляют или меняют одну букву в названии сайта, что показано на рисунке 2, и пользователь теряет бдительность, так как внешне электронный адрес похож на официальный [2].

Рис. 2. Обман пользователей путём изменения названия официального сайта

При получении письма с просьбой подтверждения учётной записи можно связываться с официальной компанией для проверки подлинности такого сообщения.

Сами игровые сервисы могут уменьшить количество фишинговых атак путём создания базы фишинговых сайтов и последующей сверки с ним. Эти действия помогают в разработке специальных спам-фильтров, основанных на технологии машинного обучения, которые уменьшают число фишинговых электронных сообщений, получаемых пользователями.

Другой метод для получения имен пользователей и паролей называется «атака грубой силой» (brute force). Это довольно простой в реализации способ хищения информации: злоумышленники используют определённый тип программы, которая пытается угадать правильную комбинацию имени пользователя/пароля, перебирая все возможные комбинации букв и цифр.

Один из способов крупного игрового сервера защититься от подобного вида атак — это внимательно следить за количеством попыток входа в систему на данном веб-сайте. Если администраторы сайта замечают внезапный всплеск неудачных попыток входа в систему, то, скорее всего, они в разгаре атаки «грубой силы».

Дополнительную защиту аккаунта на игровом сервисе, как и на любом другом веб-сайте, обеспечивает двухфакторная аутентификация — метод идентификации пользователя в каком-либо сервисе при помощи запроса аутентификационных данных двух разных типов, что обеспечивает более эффективную защиту аккаунта от несанкционированного проникновения. В настоящее время большинство крупных игровых сервисов, всерьёз обеспокоенных безопасностью данных своих пользователей, предоставляют возможность прохождения двухфакторной аутентификации [3].

Самым распространённым способом атак на игровые сервисы является распределённая атака типа «отказ в обслуживании» (Distributed Denial of Service). Особенность этой атаки состоит в том, что злоумышленники проникают в защищённую компьютерную систему не для кражи информации. Этот вид атак используется для того, чтобы «парализовать» работу веб-сервера. На рисунке 3 представлена иерархическая структура DDoS-атаки [4].

Рис. 3. Иерархическая структура DDoS-атаки

В начале злоумышленники со своего компьютера (или группы компьютеров) подают сигнал о начале атаки. Главные компьютеры получают сигнал об атаке и передают его компьютерам-«зомби», тем самым захватывая эти узлы. Такое название обусловлено тем, что пользователи могут даже не догадываться о том, что их компьютеры являются потенциальными участниками DDoS-атаки. На компьютеры-«зомби», которые подверглись нападению, обычно устанавливаются троянские программы, работающие в фоновом режиме. Затем, по команде злоумышленников с захваченных компьютеров осуществляется большое количество запросов к игровому серверу, из-за чего веб-сервер перегружается и приостанавливает свою работу, тратя все свои ресурсы на обслуживание ложных запросов. Так как DDoS-атака является многоуровневой, зачастую невозможно вычислить злоумышленника. Опасность DDoS-атак состоит в том, что хакеры могут использовать их для прикрытия более серьёзных атак [5].

Программы для проведения атак свободно распространяются в сети Интернет, что является ещё одной проблемой для специалистов по безопасности. Раньше такое программное обеспечение разрабатывалось для выявления степени устойчивости сети к внешним нагрузкам, но сейчас оно претерпело сильные изменения и используется во вред пользователям.

Полностью защититься от DDoS-атак в наши дни невозможно, но существует ряд специальных организационных мер и программно-аппаратных средств, например, могут применяться фильтры, подключаемые к интернет-каналу с большой пропускной способностью, которые анализируют трафик на наличие нестандартной сетевой активности и ошибок.

Геймеры очень восприимчивы к методам социальной инженерии (social engineering). Можно довольно просто попросить кого-то выдать личную информацию, всего лишь войдя в доверие к игроку, став ему приятелем, который провел бесчисленные часы вместе с пользователем в виртуальном мире. Самое удобное в этом способе то, что с таким «другом» практически невозможно встретиться в реальном мире, что развязывает руки злоумышленнику. Киберпреступники часто получают необходимую им информацию, представившись администратором или кем-либо из ответственных за обеспечение работы сервиса лиц, используя похожие логины.

Противостоять такому виду атак несложно, достаточно проверять информацию у официальных представителей сервиса, если какие-то действия со стороны администрации кажутся подозрительными. К тому же, стоит помнить, что администрация игрового сервера не должна дополнительно запрашивать информацию об аккаунте пользователя, так как всё было указано при регистрации [6].

Таким образом, на основе проведённого исследования можно сделать вывод, что от большинства хакерских атак различного рода пользователь может защититься самостоятельно, если будет внимателен и бдителен, не будет пренебрегать настройками безопасности своего аккаунта, к примеру возможностью прохождения двухфакторной аутентификации, созданием сложного уникального пароля, подтверждением адреса электронной почты или установкой специального программного обеспечения для защиты от вредоносных программ. Со стороны игрового сервиса следует разрабатывать грамотную политику безопасности серверов и обеспечивать защиту от атак злоумышленников, применяя необходимое программное и аппаратное обеспечение. Совместные действия пользователя и официальных представителей игрового сервиса по обеспечению безопасности информации, содержащейся в аккаунтах, уменьшат количество инцидентов и позволят сохранить конфиденциальные данные.

Литература:

  1. Фишинг // Википедия — URL: http://ru.wikipedia.org/wiki/Фишинг
  2. Scamtypes // Steam — URL: https://www.reddit.com/r/Steam/wiki/scamtypes
  3. Двухфакторная аутентификация: что это и зачем оно нужно // Официальный русский блог Лаборатории Касперского — URL: https://blog.kaspersky.ru/what_is_two_factor_authenticatio/4272/
  4. DoS-атака // Википедия — URL: https://ru.wikipedia.org/wiki/DoS-атака
  5. DDoS — виртуальный терроризм. Что такое DDoS-атака // Компьютерная документация от А до Я — URL: http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/
  6. Рекомендации по обеспечению безопасности аккаунта // SteamSupport — URL: https://support.steampowered.com/kb_article.php?ref=1266-OAFV-8478
Основные термины (генерируются автоматически): игровой сервис, злоумышленник, пользователь, электронная почта, сервис, пароль, иерархическая структура DDoS-атаки, игровой сервер, социальная инженерия, виртуальный мир.


Ключевые слова

информационная безопасность., игровой сервис, видеоигры, фишинг, DDoS-атака, социальная инженерия, атака грубой силой

Похожие статьи

Интернет-угрозы и способы защиты от них | Статья в журнале...

Технические угрозы и Социальная инженерия — два вида Интернет — угроз. Основными техническими угрозами для пользователей являются вредоносные программы, ботнеты и DoS и DDoS-атаки. Вредоносные программы наносят ущерб компьютеру, серверу или компьютерной...

Основные виды атак социальной инженерии | Статья в журнале...

Наиболее распространенный тип атаки социальной инженерии происходит по телефону.

‒ Quid pro quo (услуга за услугу) — данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Давать адрес электронной почты только проверенным источникам.

Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям.

Отказ в обслуживании (DoS- и DDoS- атаки).

Социальная инженерия и информационная безопасность

Социальная инженерия часто является одним из многих шагов в более сложную схему

Самый простой способ реализации данной схемы является письмо на электронную почту

В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать...

Угрозы безопасности локальных вычислительных сетей

Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего

При первых симптомах атаки рекомендуется обратиться к профессиональным сервисам, предоставляющим услугу защиты от таких атак [3].

Электронная почта. Ваш вопрос. Отправить.

Исследование нейросетевых технологий для выявления...

DoS атаки — это сетевые атаки, направленные на возникновение ситуации, когда

R2L атаки характеризуются получением доступа незарегистрированного пользователя к компьютеру со

В рамках данной статьи в качестве ИНС использовалась структура нейронной сети Кохонена...

Использование средств библиотеки SFML для написания игровых...

Инженерия.

Рис. 1. Общая структура игровой программы.

В игровом цикле регистрируется ход пользователя, после чего при необходимости изменяется состояние игрового поля и осуществляется его перерасчет (совершается ход).

Причины и источники сетевых аномалий | Статья в журнале...

Ключевые слова: сетевая атака, сеть, злоумышленник, информационная безопасность, мониторинг, сетевой трафик.

Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS).

Электронная почта.

Формализация процесса удаленного взлома информационной...

Большой проблемой современного мира являются хакерские атаки.

Также можно воспользоваться методами социальной инженерии и выведать у пользователей

Руткиты и средства удаленного доступа часто сочетаются злоумышленником для поддержания доступа.

Обсуждение

Социальные комментарии Cackle

Похожие статьи

Интернет-угрозы и способы защиты от них | Статья в журнале...

Технические угрозы и Социальная инженерия — два вида Интернет — угроз. Основными техническими угрозами для пользователей являются вредоносные программы, ботнеты и DoS и DDoS-атаки. Вредоносные программы наносят ущерб компьютеру, серверу или компьютерной...

Основные виды атак социальной инженерии | Статья в журнале...

Наиболее распространенный тип атаки социальной инженерии происходит по телефону.

‒ Quid pro quo (услуга за услугу) — данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону.

Сетевые атаки. Виды. Способы борьбы | Статья в сборнике...

Давать адрес электронной почты только проверенным источникам.

Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям.

Отказ в обслуживании (DoS- и DDoS- атаки).

Социальная инженерия и информационная безопасность

Социальная инженерия часто является одним из многих шагов в более сложную схему

Самый простой способ реализации данной схемы является письмо на электронную почту

В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать...

Угрозы безопасности локальных вычислительных сетей

Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего

При первых симптомах атаки рекомендуется обратиться к профессиональным сервисам, предоставляющим услугу защиты от таких атак [3].

Электронная почта. Ваш вопрос. Отправить.

Исследование нейросетевых технологий для выявления...

DoS атаки — это сетевые атаки, направленные на возникновение ситуации, когда

R2L атаки характеризуются получением доступа незарегистрированного пользователя к компьютеру со

В рамках данной статьи в качестве ИНС использовалась структура нейронной сети Кохонена...

Использование средств библиотеки SFML для написания игровых...

Инженерия.

Рис. 1. Общая структура игровой программы.

В игровом цикле регистрируется ход пользователя, после чего при необходимости изменяется состояние игрового поля и осуществляется его перерасчет (совершается ход).

Причины и источники сетевых аномалий | Статья в журнале...

Ключевые слова: сетевая атака, сеть, злоумышленник, информационная безопасность, мониторинг, сетевой трафик.

Атаки типа «отказ в обслуживании» (DoS) и «распределенный отказ в обслуживании» (DDoS).

Электронная почта.

Формализация процесса удаленного взлома информационной...

Большой проблемой современного мира являются хакерские атаки.

Также можно воспользоваться методами социальной инженерии и выведать у пользователей

Руткиты и средства удаленного доступа часто сочетаются злоумышленником для поддержания доступа.

Задать вопрос