Przestępcy wykorzystują gry na iOS do prania brudnych pieniędzy
Z raportu opublikowanego niedawno przez firmę Kromtech wynika, iż przestępcy zajmujący się kradzieżą kart płatniczych wykorzystują popularne mobilne gry typu freemium, takie jak Clash of Clans, Clash Royale czy Marvel Contest of Champions, do prania brudnych pieniędzy.
Wspomniane gry, podobnie jak większość pozostałych produkcji dostępnych do pobrania z App Store za darmo, oferują różnego rodzaju mikropłatności, pozwalające graczom m.in. przyśpieszyć swoje postępy lub uzyskać przewagę nad przeciwnikami. Jako iż wiele z nich kosztuje sporo pieniędzy, niektórzy gracze starają się zdobyć je w inny, często nie do końca uczciwy sposób. Jedną z popularniejszych praktyk jest odkupywanie kont (Apple ID lub utworzonych bezpośrednio w grze), do których poprzedni użytkownik przypisał już płatne dodatki. Oferty tego typu można znaleźć m.in. w portalach aukcyjnych i serwisach pośredniczących w sprzedaży gier komputerowych. Podczas gdy niektóre z nich rzeczywiście mogą należeć do graczy chcących odsprzedać swój wirtualny dobytek, wiele pochodzi od osób zajmujących się kradzieżą kart kredytowych.
Według informacji zdobytych przez firmę Kromtech, cały proceder jest bardzo prosty. Przestępcy zakładają fałszywe konta pocztowe (co ciekawe, z raportu wynika iż często wykorzystują oni w tym celu polskie o2.pl, ze względu na słabe zabezpieczenia przed zautomatyzowanym zakładaniem kont), powiązane z nimi konta Apple ID oraz (w przypadku wymagających tego tytułów) konta wewnątrz gier. Dane skradzionych przez nich kart płatniczych, a przynajmniej tych, które nie zostały zablokowane przez właścicieli, wykorzystywane są następnie do robienia zakupów wewnątrz gry. Na koniec konta z przypisanymi do nich wirtualnymi dobrami wystawiane są na sprzedaż w atrakcyjnych cenach (sprzedawcy preferują przy tym rzecz jasna trudniejsze do namierzenia formy zapłaty, takie jak chociażby Bitcoin, Ethereum czy inne kryptowaluty). Cały proces jest zautomatyzowany, dzięki czemu przestępcy mogą w krótkim czasie założyć wiele kont i skorzystać za ich pomocą z mikropłatności, odsiewając jednocześnie zablokowane karty. W ten sposób pieniądze ze skradzionej karty płatniczej szybko przekształcają się we w pełni legalne dochody ze sprzedaży w serwisie internetowym.
Opisany powyżej proceder jest jednym z najpopularniejszych, ale nie jedynym sposobem na pranie pieniędzy za pośrednictwem App Store. Alternatywą dla sprzedaży kont są oferowane przez złodziei „generatory", pozwalające graczom uzyskiwać dodatkowe przedmioty, ulepszenia lub duże ilości wirtualnej waluty za cenę znacznie niższą od wbudowanych w grę mikropłatności. Oferujące je osoby wymagają od nabywców podania loginu i hasła do konta Apple ID i/lub konta gry, a następnie wykorzystują dane skradzionej karty by zakupić dla nich określone mikropłatności. Takie rozwiązanie jest rzecz jasna mniej popularne, gdyż większość internautów jest świadoma ryzyka wiążącego się z dawaniem obcym pełnego dostępu do swoich kont. Niektóre gry oferują też graczom możliwość handlowania między sobą różnymi przedmiotami, z czego również ochoczo korzystają złodzieje kart kredytowych. W raporcie firmy Kromtech pojawiła się też wzmianka o incydencie z 2011 roku, kiedy to w duńskim App Store pojawiło się kilkadziesiąt chińskich aplikacji, które, mimo absurdalnie wysokiej ceny i niewspółgrającej z nią słabej jakości wykonania, szybko znalazły się w czołówce rankingu popularności. Jak nietrudno się domyślić, były to aplikacje umieszczone tam przez przestępców, którzy w ten sposób prali pieniądze pochodzące z nielegalnych źródeł.
Zdaniem przedstawicieli firmy Kromtech, to, że App Store może pomagać przestępcom w praniu brudnych pieniędzy, to w równym stopniu wina Apple jak i twórców gier dla systemu iOS. Firma z Cupertino nie stosuje bowiem wystarczających zabezpieczeń, które uniemożliwiłyby zautomatyzowane, masowe zakładanie kont Apple ID, a dodatkowo niezbyt dokładnie weryfikuje karty wykorzystywane do robienia zakupów w jej sklepie z aplikacjami. Twórcy gier nie robią zaś nic, by utrudnić nieuczciwym użytkownikom sprzedaż kont, a dodatkowo nie przywiązują zbyt dużej wagi do informowania graczy o potencjalnych zagrożeniach towarzyszących tego typu transakcjom.
Źródło: Kromtech