Дотапался до потери аккаунта: какие риски кибербезопасности скрываются в играх-кликерах

[BOOX]

Если у вас есть выход в интернет, то вы наверняка слышали про «игру в хомяка», наделавшей много шуму по всему миру.


Подростки теряют сон, тыкая в экран, врачи бьют тревогу, а депутаты требуют срочно запретить. Наравне с неочевидными финансовыми перспективами и риском потерять свое время впустую, актуальны и риски кибербезопасности.

В статье рассказываем, чем рискуют пользователи Hamster Kombat и подобных игр-кликеров в контексте информационной безопасности.

Что такое игры-кликеры и в чем их особенность?​

Основной игровой процесс в играх-кликерах или инкрементальных играх заключается в многократном нажатии на экран — тапании (от английского tap). Таким образом игрок зарабатывает игровую валюту. Заработанные монеты можно потратить, чтобы купить улучшения, которые ускоряют процесс заработка или делают его и вовсе автоматическим.

В последнем случае игроку делать ничего не нужно, поэтому игры-кликеры называют еще «idle games» или ленивой игрой, так как они могут работать в фоновом режиме. Смысл подобных игр заключается в бесконечном развитии и достижении новых уровней, при этом не требуя постоянного внимания игрока.

Популярность игры-кликеры набрали еще в 2013 году. Тогда увлечение играми объяснялось их простотой и возможностью отвлечься от повседневности. Новый взрыв популярности случился в 2024 году с появлением игры Hamster Kombat, которую в народе называют «игрой в хомяка». Создатели игры пообещали, что со временем заработанную игровую валюту можно будет обменять на реальные деньги, когда монета Hamster Kombat выйдет на криптобиржу. Появились и набирают популярность и альтернативные варианты игр-тапалок с потенциальной возможностью заработать: Yescoin, Blum, TapSwap, BIRD, 1WIN Token, MemeFI.

Чем рискуют тапальщики​

Эксперты по информационной безопасности предупреждают, что игры-кликеры в Telegram могут представлять риски, связанные с утечкой персональных данных, кражей аккаунтов, распространением вредоносного ПО, слежкой, мошенничеством и финансовыми потерями.

Самый главный риск — фишинг со стороны разработчиков игр-кликеров. В сети есть примеры, когда человек вступал в подобные проекты и для «подтверждения учетной записи Telegram» его просили авторизоваться на фишинговых ресурсах. Так может быть скомпрометирован Telegram-аккаунт пользователя, а вместе с ним и личные переписки, и есть риск дальнейшего продолжения фишинговой кампании, используя его аккаунт. Например, рассылка фишинговой ссылки всем контактам скомпрометированного пользователя.

Иногда встречаются проекты, где просят ввести seed-фразу для восстановления доступа к криптовалютному кошельку, аргументируя тем, что это необходимо для его привязки и дальнейшего вывода криптовалюты на кошелек пользователя. В таком случае человек лишается всей криптовалюты, которая у него хранилась на скомпрометированном кошельке.

Есть риск установки вредоносного программного обеспечения под видом задания или апгрейда своего аккаунта в игре. Например, «установи приложение на свой смартфон, чтобы майнить на 30% больше коинов. Ссылка на приложение:

Для просмотра ссылки необходимо нажать Вход или Регистрация

».

Самое безобидное, что можно получить при участии в проектах мошенников — потерянное время и бесполезное выполнение их заданий. Игрокам ничего не выплачивают, а мошенники зарабатывают от их подписки на сторонние Telegram-каналы.

Игры-кликеры быстро распространяются благодаря бонусам за приглашенных друзей по реферальным ссылкам. Особую популярность игры получили среди подростков, а значит, они в первую очередь могут оказаться жертвами мошенников.

Информация о киберпреступлениях, связанных с играми-кликерами,

Для просмотра ссылки необходимо нажать Вход или Регистрация

в официальном телеграм-канале Управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России. Сотрудники правоохранительных органов предупреждают, что у игроков Hamster Kombat массово угоняют аккаунты в Telegram.

Происходит это, как правило, двумя способами:

1. Киберпреступники сообщают пользователям Hamster Kombat, что деньги можно легко вывести. А затем присылают фишинговую ссылку. Если игрок переходит по ней, то лишается доступа к аккаунту в Telegram.
2. Мошенники через разные сайты подсовывают пользователям, которые еще не успели зарегистрироваться, ссылку на свой бот, маскирующийся под официальное приложение разработчика. При входе в него злоумышленники фиксируют личную информацию: геолокацию, данные о wi-fi-точке, пароли учетных записей и контакты.

Данная схема и подобные ей представляют опасность в перспективе. К примеру, если к взломанному аккаунту привязать онлайн-кошелек, все средства, которые на нем окажутся, уйдут на счета хакеров при минимальных усилиях с их стороны.

Мобильные игры сопряжены с различными рисками информационной безопасности – от вредоносных атак до потенциально неэтичных действий разработчиков или продавцов игр. Игроки могут столкнуться с вредоносным ПО, замаскированным под игровые моды или читы, попытками фишинга через внутриигровые чаты, поддельными версиями популярных игр в магазинах приложений и использованием уязвимостей в игровом коде. Все это может привести к заражению устройства, краже личной информации или захвату аккаунта. Общественные сети Wi-Fi представляют собой дополнительный риск при игре, поскольку могут стать причиной перехвата конфиденциальных данных.

Важно помнить о кибербезопасности, используя двухфакторную аутентификацию, избегая подозрительных ссылок и приложений, проверяя подлинность запросов на авторизацию и устанавливая надежное антивирусное ПО.

Информационные угрозы мобильного гейминга​

Если говорить о мобильном гейминге в целом, то есть несколько способов, как киберпреступники могут атаковать пользователей. К ним можно отнести взлом слабых паролей, атака на производителя игры, загрузка вредоносного ПО под видом игры или обновления к ней.

Существует два вида рисков. Первые связаны с пользователями: фишинг, социальная инженерия, вредоносное программное обеспечение, атаки на client-side.

Вторые — риски, связанные с безответственными разработчиками: несоответствие стандартам информационной безопасности и требованиям безопасного хранения данных, неэтичный сбор данных о пользователях, отсутствие обновлений безопасности, эксплуатация известных уязвимостей, продажа данных о пользователях третьим компаниям.

Кроме этого, есть риск, что сами производители игр могут оказаться недобросовестными и передавать ваши данные третьим лицам.
Популярные игры, привлекающие сотни тысяч пользователей — заманчивая цель для киберпреступников.

Заключение​

ИБ-специалисты считают, что некоторые изменения в политике безопасности разработчиков игр-кликеров могли бы снизить риски информационной безопасности для пользователей.

Сами игры могут стать целью атакующих, в том числе и с целью получения выгоды. Так, в сеть попало

Для просмотра ссылки необходимо нажать Вход или Регистрация

, на котором хакер утверждает, что взломал Hamster Kombat. С помощью уязвимости он смог открыть игру-кликер в web-версии Telegram и мгновенно прокликать все монеты, всего лишь подставив нужное значение в консоль браузера.

В первую очередь необходимо позаботиться о мерах оперативной блокировки ботов, каналов и mini app, относящихся к мошенническим проектам. Важно повышать осведомленность пользователей в вопросах «цифровой гигиены». Как вариант, при запуске подобных приложений или ботов выводить предупреждение, чтобы пользователи не вводили свои учетные данные или seed-фразу на сторонних ресурсах.

Для защиты от подобных угроз рекомендуется использовать сложные пароли, двухфакторную аутентификацию, где это возможно, и избегать подозрительных ссылок и предложений. Также важно регулярно обновлять операционную систему и приложения, чтобы устранить известные уязвимости.

Для просмотра ссылки необходимо нажать Вход или Регистрация