State of the Internet / Security Report | Gaming — You Can ......[state of the internet] /...
Transcript of State of the Internet / Security Report | Gaming — You Can ......[state of the internet] /...
[stato di internet] / securityVolume 6, numero 2
GAMING_ La sicurezza è un gioco di squadra
Foto
: Dre
amH
ack
Sommario
Lettera del direttore - Gaming
Direttamente dai giocatori
Introduzione
Protezione dei server
Utilizzo del gioco
Un equilibrio perfetto
Gestione degli attacchi
Risorse aggiuntive
Conclusioni
Metodologie
Appendice
Riconoscimenti
2
3
5
7
14
17
21
24
25
27
30
37
Foto: DreamHack/Joe Chuang
2[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Anche noi siamo giocatori.
Che si tratti di scavare alla ricerca di diamanti in una sandbox virtuale, interpretare un eroe in un gioco di ruolo online multiplayer di massa (MMORPG) o cercare il luogo perfetto per organizzare un'imboscata in uno sparatutto in prima persona (FPS), il gioco è il modo in cui molti di noi si sfogano un po' a fine giornata. O forse a metà giornata, nei tempi morti, ora che lavoriamo tutti da casa. Non ditelo al mio capo.
Quindi, quando un game server si blocca o la rete di una società di gaming ha una maggiore latenza a causa di un attacco DDoS (Distributed Denial-of-Service) o un account viene compromesso e vengono rubati beni digitali, ne risentiamo sia come professionisti che come giocatori. La maggior parte dei dati con cui lavoriamo è generata dai team che proteggono direttamente molte società di gaming da questi attacchi. Ciò significa che abbiamo un'idea abbastanza chiara dello stress a cui sono sottoposte alcune di queste organizzazioni.
Questo numero del rapporto sullo stato di Internet - Security di Akamai è dedicato a un sondaggio concepito per raccogliere le opinioni sulla sicurezza dei giocatori e realizzato in collaborazione con l'organizzazione di produzione e trasmissione degli eSport, DreamHack. Hanno risposto più di 1.200 giocatori da tutta l'Europa e i risultati sono, come si vedrà, molto interessanti. Sebbene i sondaggi non siano il tipo di dati che di solito trattiamo nei nostri rapporti, la comprensione di come i giocatori immaginano la sicurezza e in che modo ciò si collega ai tipi di attacchi che le società di gaming subiscono quotidianamente hanno generato alcune discussioni stimolanti all'interno del nostro team.
Il team è stato lieto di avere la possibilità di analizzare l'argomento dei giochi da così tante angolazioni diverse. Sappiamo come ci si sente quando i nostri giochi preferiti sono sotto attacco. Sappiamo che gli esperti di sicurezza sono sotto un'elevata pressione per mantenere questi sistemi online e funzionanti nonostante i grandi sforzi compiuti dagli autori degli attacchi. Quello che non avevamo esaminato prima era come i giocatori stessi considerano la sicurezza dei propri giochi e dei propri account di gaming.
Se non altro, vi chiedo per favore di cogliere il messaggio fondamentale di questo numero del rapporto sullo stato di Internet - Security, ovvero ricordatevi di non riutilizzare le password e di sfruttare gli strumenti che le società di gaming mettono a disposizione per proteggere i vostri account. Ora, se volete scusarmi, devo ordinare uno o due token di autenticazione a due fattori (2FA).
Martin McKeay Editorial Director
Lettera del direttore - Gaming
3[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Direttamente dai giocatori
3[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Abbiamo chiesto ai giocatori che hanno risposto al sondaggio di DreamHack e Akamai chi, secondo loro, deve essere responsabile della sicurezza e quali sono state le loro esperienze personali. Di seguito riportiamo solo alcune delle risposte:
"Ognuno è responsabile della corretta gestione della sicurezza... Io dovrei creare una password complessa e sicura, [e] le società di gaming dovrebbero [offrire] la verifica in due passaggi e simili funzioni di sicurezza aggiuntive..."
— Giocatore frequente che non ha subito attacchi
"Ciascuno ha pari responsabilità e dovrebbe garantire sempre, al meglio delle proprie capacità, la sicurezza e la protezione online di tutti".
— Giocatore frequente che non ha subito attacchi
"… [La sicurezza] si garantisce con uno sforzo congiunto delle varie parti. Le società di gaming devono fornire una soluzione sicura, ma io svolgo la mia parte nell'utilizzarla…"
— Un assiduo giocatore, vittima di una violazione dell'account
4[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
"… Ho subito un tentativo di attacco tramite la mia e-mail aziendale con cui è stato violato il mio accesso a Twitch, Twitter, Instagram e, molto probabilmente a Steam. Sono stati effettuati tentativi di accesso, ma fortunatamente, il mio 2FA ha garantito la protezione nella maggior parte dei casi…"
— Utente professionale di servizi di streaming che ha subito un attacco
"Direi che io ho la mia parte di responsabilità, ma le società di gaming devono fare in modo che i propri giochi non vengano utilizzati per scopi illeciti".
- Giocatore non frequente (gioca alcune volte a settimana) che ha subito un attacco
"Ognuno è responsabile di mantenere la sicurezza necessaria. [I giocatori] dovrebbero sempre cercare di NON essere l'anello più debole, perché è quello che prendono di mira gli autori di attacchi."
— Giocatore frequente che non ha subito attacchi
4[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
"Non bisogna condividere informazioni o usare le stesse password. La società di gaming deve sempre utilizzare [2FA] e garantire la massima sicurezza…"
— Giocatore frequente che non ha subito attacchi
5[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Nel periodo compreso tra luglio 2018 e giugno 2020, Akamai ha osservato più di 10 miliardi di attacchi sferrati alle applicazioni web contro i clienti, tra cui 152 milioni diretti al settore del gaming. Inoltre, tra luglio 2019 e giugno 2020, Akamai ha osservato 3.072 diversi attacchi DDoS nel settore del gaming, che risulta, pertanto, il bersaglio preferito di questo tipo di attacchi tra i nostri clienti.
Nel periodo compreso tra luglio 2018 e giugno 2020, Akamai ha osservato 100 miliardi di attacchi di credential stuffing sferrati contro tutti i settori. Solo nel settore del gaming sono stati registrati quasi 10 miliardi di attacchi.
Nel 2019, il settore del gaming si è rivelato un business da 159 miliardi di dollari e, secondo NewZoo, raggiungerà i 200 miliardi di dollari entro il 2023. Questa società di analisi di mercato ha notato anche che la pandemia del COVID-19 e i successivi lockdown hanno migliorato l'engagement degli utenti e incrementato i ricavi nell'intero settore del gaming.
Durante i lockdown causati dal COVID-19, tutti (specialmente i giocatori) hanno cercato modi alternativi per socializzare, visto che i vari locali, Internet point, sale giochi, bar/pub e altri punti di ritrovo avevano chiuso i battenti sin dai primi mesi del 2020. La possibilità di giocare su più piattaforme, nonché sulle piattaforme di gioco dei social media (ad es., Discord), ha offerto un elemento di interazione comune.
Ad aprile, Steam ha registrato un giorno da record, poco dopo il record precedente stabilito a marzo. Il 4 aprile 2020, si sono collegati 24 milioni di giocatori, di cui 8 milioni contemporaneamente, stabilendo un record. In effetti, in base alle metriche di Steam nella Figura 1, è possibile osservare che nel primo trimestre del 2020, quando si è verificata la maggior parte dei lockdown dovuti alla pandemia, sono stati riscontrati aumenti costanti delle interazioni dei giocatori e dei periodi trascorsi a giocare.
5
Fig. 1 – Le metriche pubblicate da Steam mostrano una crescita costante nel primo trimestre del 2020, seguita da un giorno da
record, il 4 aprile 2020 (fonte: SteamDB.info)
Grafici quotidiani di Steam
Introduzione
6[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Il motivo per cui iniziamo questo rapporto parlando
di metriche del settore è semplice: l'anno scorso
vi abbiamo detto che il settore del gaming stava
diventando rapidamente un obiettivo redditizio
per i criminali. Ora, con 24 mesi di dati, possiamo
affermare con certezza che i giocatori sono un
obiettivo primario, così come le loro presenze
online. Il COVID-19 ha cambiato il gaming e i
criminali, anch'essi sotto il lockdown dovuto alla
pandemia come tutti noi, non hanno perso tempo
a prendere di mira i giocatori di tutto il mondo.
L'obiettivo del nostro rapporto è condividere
informazioni pertinenti e utili per la comunità della
sicurezza in generale, nonché informazioni che
aiuteranno i giocatori che non fanno parte della
sfera dei nostri lettori abituali. Un modo per farlo
è parlare direttamente ai giocatori.
Nella primavera del 2020, durante la collaborazione
con la società di eSport DreamHack, Akamai ha inviato
un sondaggio ai giocatori nell'intento di raccogliere
le loro opinioni sulla sicurezza relativamente alla
propria experience di gioco. I risultati del sondaggio
iniziale includono 1.253 risposte di giocatori europei,
seguite da una seconda serie di domande e risposte
di 369 degli intervistati originali. Inoltre, Akamai ha
intervistato due giocatori americani: uno che lavora
nel settore della sicurezza, e quindi competente
in materia di sicurezza, e uno che non ha alcun
collegamento con il settore.
Ci auguriamo che l'aggiunta dei punti di vista dei
giocatori ai dati da noi raccolti ci consenta di offrire
un quadro più completo sullo stato della sicurezza
nel settore del gaming.
L'obiettivo del nostro rapporto è condividere informazioni pertinenti e utili per la comunità della sicurezza in generale, nonché informazioni che aiuteranno i giocatori che non fanno parte della sfera dei nostri lettori abituali.""
7[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 7
I giocatori adorano i propri giochi, e il loro hobby
spesso richiede un certo livello di impegno, per
completare livelli e acquisire attrezzature. Non c'è da
sorprendersi che giochino ogni giorno o più volte
al giorno. Tuttavia, per consentire questa elevata
interazione, le società di gaming responsabili delle
varie piattaforme e server devono garantire che tali
risorse siano sempre disponibili online. Per farlo,
devono costantemente respingere gli attacchi sul
web che prendono di mira la propria infrastruttura.
Nel periodo compreso tra luglio 2018 e giugno 2020,
Akamai ha osservato più di 10.628.755.494 di attacchi
sferrati contro le applicazioni web di tutti i clienti e
152.256.924 solo nel settore del gaming. Esaminando
lo scenario degli attacchi, l'attacco SQL injection
(SQLi) resta ancora il vettore di attacco numero uno,
rappresentando il 76% degli attacchi sferrati contro
tutti i clienti (di cui il 58% nel settore del gaming).
Protezione dei server
Foto
: Dre
amH
ack/
Kim
Ven
tura
degli intervistati afferma di giocare
tutti i giorni o diverse volte al giorno81%
8[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
76,148%
16,251%
2,639% 1,818% 1,233% 1,912%0 Mrd
2 Mrd
4 Mrd
6 Mrd
8 Mrd
SQLi LFI XSS PHPi File dannoso Caricamento
Altro
Vettore di attacco
Att
acch
i (m
iliar
di)
58,21%
31,15%
5,88%1,73% 1,59% 1,44%
0 Mio
25 Mio
50 Mio
75 Mio
SQLi LFI XSS PHPi RFI AltroVettore di attacco
Att
acch
i (m
ilio
ni)
Principali vettori di attacchi web (luglio 2018 - giugno 2020)
Tutti i settori verticali Gaming
Fig. 2 - Gli attacchi alle applicazioni web contro il settore del gaming sono prevalentemente dominati da SQLi e LFI
Gli attacchi SQLi sono seguiti immediatamente da
quelli di tipo LFI (Local File Inclusion), con un 16%
di attacchi sferrati contro tutti i clienti e un 31% nel
solo settore del gaming.
Con gli attacchi SQLi e LFI, i criminali prendono di
mira determinati dati. Gli attacchi SQLi possono
consentire loro di accedere alle credenziali di accesso,
alle informazioni personali o qualsiasi altro dato
archiviato nel database del server attaccato. Ad
esempio, i ricercatori di Akamai hanno rilevato
video di formazione condivisi dai criminali, in cui gli
attacchi SQLi vengono utilizzati come metodo per
ottenere i dati di accesso, impiegati successivamente
negli attacchi di credential stuffing.
Gli attacchi LFI cercano di sfruttare gli script in
esecuzione sui server. Tuttavia, è risaputo che i
criminali prendono di mira le falle LFI presenti in
ASP, JSP e altre tecnologie web. Gli attacchi LFI di
solito provocano la divulgazione di informazioni,
come i file di configurazione del server (che possono
essere utilizzati per compromettere il server e tutti gli
account su di esso). Nel caso dei giochi, gli attacchi LFI
possono essere utilizzati per accedere ai dati archiviati.
I dati archiviati presi di mira potrebbero includere file
che contengono i dettagli del giocatore e del gioco,
che possono essere utilizzati per lo sfruttamento o
l'alterazione.
I giochi per dispositivi mobili e quelli basati su web
sono bersagli allettanti per gli attacchi SQLi e LFI,
poiché i criminali che riescono ad attaccare con
successo queste piattaforme ottengono l'accesso a
nomi utente e password, informazioni sull'account e
tutti i contenuti correlati ai giochi archiviati sul server.
Esistono interi mercati dedicati alla vendita di account
alterati o account che sono stati compromessi e violati.
Se sfruttate, queste falle possono essere utilizzate
anche da criminali che eseguono operazioni di
farming di risorse, in cui i bot (account automatici che
agiscono come un giocatore) si appropriano di risorse
o elementi all'interno del gioco che possono essere
scambiati o venduti.
Esaminando le fonti quotidiane, nel periodo
registrato si sviluppa un modello di attacchi web
costante, con flussi coerenti di tutti i tipi, da SQLi
e LFI, a Cross-Site Scripting (XSS), PHP Injection
(PHPi), caricamenti di file dannosi, ecc.
9[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
XSS
RFI
SQLi
1 lug2018
1 ott 2018
1 gen 2019
1 apr 2019
1 lug 2019
1 ott2019
1 gen2020
1 apr 2020
1 lug 2020
1 lug2018
1 ott 2018
1 gen 2019
1 apr 2019
1 lug 2019
1 ott2019
1 gen2020
1 apr 2020
1 lug 2020
0,000 Mio
0,200 Mio
0,375 Mio
0,575 Mio
0,750 Mio
0,000 Mio
0,025 Mio
0,050 Mio
0,075 Mio
0,100 Mio
0,00 Mio
0,05 Mio
0,10 Mio
0,15 Mio
0,20 Mio
0,000 Mio
0,700 Mio
1,375 Mio
2,075 Mio
2,750 Mio
0,000 Mio
0,075 Mio
0,125 Mio
0,200 Mio
0,250 Mio
0,000 Mio
0,025 Mio
0,050 Mio
0,075 Mio
0,100 Mio
Att
acch
i quo
tid
iani
(mili
oni
) PHPi
Altro
LFI
Fig. 3 - Le visualizzazioni giornaliere degli attacchi web durante il periodo di osservazione mostrano un flusso costante di attacchi
contro il settore del gaming tra più tipi di attacco
Principali vettori di attacchi web (luglio 2018 - giugno 2020)
Alcuni attacchi, tra cui gli attacchi LFI, mostrano forti picchi in determinati periodi dell'anno, come i mesi estivi negli Stati Uniti o durante le festività globali. Altri, come i caricamenti di file dannosi, PHPi e XSS, mostrano una diffusione degli attacchi costante e coerente. In particolare, è stato registrato un picco di tutti i tipi di attacchi nel maggio del 2020, insieme agli attacchi LFI, ma non sembra esserci alcuna causa determinante, è stato solo osservato un periodo di elevata attività. I grafici nella Figura 3 indicano che i criminali prendono di mira il settore del gaming in modo coerente e costante.
Oltre agli attacchi su server e applicazioni basati sul web, le società di gaming devono anche fare i conti con gli attacchi DDoS. I giocatori hanno familiarità con gli attacchi DDoS, perché a ciascuno di loro è capitato di giocare a un gioco che, prima o poi, è stato messo offline da criminali o ragazzi arrabbiati
per interessi personali.
10[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Nel 2016, la botnet Mirai è stata responsabile di una serie di attacchi DDoS che hanno creato scompiglio su Internet. Eppure questa botnet non era opera di una specie di grande complotto di criminali che tentavano di dominare il mondo. Invece, questa botnet dannosa è stata creata da tre studenti universitari che cercavano di danneggiare i server Minecraft per divertimento e profitto. Il loro obiettivo era semplice: attaccare la concorrenza e convincere i clienti a cambiare host, una volta che le connessioni al server lente o inesistenti li avessero frustrati al punto di andarsene.
Tra luglio 2019 e giugno 2020, Akamai ha osservato 3.072 diversi attacchi DDoS nel settore del gaming, che risulta, pertanto, il bersaglio preferito di questo tipo di attacchi tra i nostri clienti, seguito dai settori dei servizi high-tech e finanziari. Si sono verificati 5.624 attacchi DDoS in tutti i settori verticali nello stesso periodo.
Come illustrato nella Figura 4, gli attacchi DDoS sono costanti, si verificano quotidianamente in tutti i settori, in particolare in quello del gaming. Inoltre, questi attacchi raggiungono il picco durante i periodi delle festività, così come durante le stagioni estive e primaverili. Questo, di solito, è un indicatore che i responsabili sono a casa da scuola.
30
60
90
120
150
1 lug2019
1 ago 2019
1 sett 2019
1 ott 2019
1 nov 2019
1 dic 2019
1 gen2020
1 feb2020
1 mar2020
1 apr2020
1 maggio2020
1 giu2020
1 lug2020
Even
ti d
i att
acco
DD
oS
Tutti i settori verticali Gaming
Fig. 4 - Gli attacchi DDoS sono costanti e la maggior parte di essi prende di mira il settore del gaming, seguito dai settori high-
tech e dei servizi finanziari
Eventi di attacchi DDoS settimanali
luglio 2019 - giugno 2020
Foto: Mojang Studios/Minecraft
11[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Lo sapevate?Contrariamente a quanto si crede comunemente, un lag switch non è un attacco DDoS. Quando attivato, un lag switch blocca i dati in uscita e funziona davvero bene solo sui giochi peer-to-peer (P2P). Durante uno sparatutto in prima persona, ad esempio, uno switch farà apparire il giocatore avversario bloccato sullo schermo. Invece, l'utente che utilizza lo switch può muoversi e sparare normalmente sul proprio schermo. Quando lo switch viene rilasciato e i dati si sincronizzano nuovamente, la persona che utilizza il lag switch sembrerà muoversi molto rapidamente e spesso porterà a termine uccisioni prima che l'altro giocatore possa agire.
Su console e PC, i lag switch stanno iniziando a diffondersi nuovamente, perlomeno parlando in termini di responsabilità. I giochi cross-play e l'emergere di nuovi giochi P2P, così come l'ampia implementazione della compensazione del ritardo, hanno portato a sostenere che vi sia un aumento dei lag switch tra i giocatori di diversi titoli multiplayer popolari. Tuttavia, la realtà è meno perfetta di uno switch su un controller. Il più delle volte, non è un lag switch che causa problemi, ma sono le connessioni di rete di scarsa qualità e i server sovraccarichi.
11[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Foto
: BLI
ZZA
RD
/Sta
rCra
ft II
10t
h A
nniv
ersa
ry
12[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Principali aree di destinazione per gli attacchi alle applicazioni web - Gaming
luglio 2018 - giugno 2020
AREA DI DESTINAZIONE TOTALE DI ATTACCHI POSIZIONE GLOBALE
Stati Uniti 147.034.562 1
Hong Kong SAR 1.683.439 16
Regno Unito 1.068.738 2
Singapore 891.319 15
Giappone 753.653 6
Cina 386.584 9
Corea del Sud 352.368 17
Canada 57.333 7
Germania 15.044 4
Taiwan 13.882 18
Fig. 5 - Tre delle cinque principali aree di destinazione nel settore del gaming hanno una forte presenza nel settore del gaming
per dispositivi mobili, a dimostrazione che i criminali prendono di mira i giochi su dispositivi mobili con la stessa frequenza con
cui prendono di mira altre piattaforme
Per quanto riguarda i bersagli degli attacchi, la maggior parte di essi si trova negli Stati Uniti, seguita dalle società di gaming di Hong Kong SAR, Regno Unito, Singapore e Giappone. Tra i cinque principali, come mostrato nella Figura 5, vale la pena menzionare che il mercato asiatico ha una forte presenza nel settore del gaming per dispositivi mobili. I criminali spesso scelgono il gaming su dispositivi mobili per sferrare gli attacchi DDoS, lo scambio e il controllo di account, nonché il farming
di risorse. Tali azioni a volte comportano perdite sui cambi nel mondo reale sia per i giocatori che per gli sviluppatori di giochi.
Nota: consultare la sezione Metodologie per dettagli su come abbiamo stilato le classifiche delle aree in base ai bersagli degli attacchi e alle origini degli attacchi. L'origine non implica l'attribuzione di un autore dell'attacco al paese di riferimento.
"I criminali spesso scelgono il gaming su dispositivi mobili per sferrare gli attacchi DDoS, lo scambio e il controllo di account, nonché il farming di risorse.
Foto: PUBG Corporation/PUBG Stadia
13[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Principali aree di origine per gli attacchi alle applicazioni web - Gaming
luglio 2018 - giugno 2020
AREA DI ORIGINE TOTALE DI ATTACCHI POSIZIONE GLOBALE
Stati Uniti 68.039.746 1
Russia 9.913.447 2
Turchia 5.735.990 21
Paesi Bassi 5.101.199 3
Indonesia 4.568.904 17
Regno Unito 4.474.914 13
Cina 4.326.990 4
Germania 4.318.502 8
Francia 4.162.498 14
Hong Kong SAR 3.710.690 22
Fig. 6 - Considerando l'origine degli attacchi, gli Stati Uniti restano al primo posto, ma sono seguiti da paesi noti per il botting e il
credential stuffing
Foto: STARCRAFT/Legacy Of The Void
Per quanto riguarda l'origine degli attacchi, mostrata
nella Figura 6, Akamai può parlare solo del momento
finale nella catena degli attacchi, poiché non esiste
un modo reale per rilevare un determinato attore
ostile al di là degli accessi effettuati alla nostra rete.
Tuttavia, possiamo vedere gli Stati Uniti in cima
all'elenco delle origini, seguiti da Russia, Turchia,
Paesi Bassi e Indonesia. Tre di questi paesi hanno una
forte presenza nei forum clandestini noti per i servizi
DDoS, il credential stuffing e il botting, che viene
utilizzato per prendere di mira il gaming tramite il
controllo degli account o il farming di risorse.
Nota: in questo caso, quando parliamo di farming
di risorse e botting, ci riferiamo a bot che vengono
utilizzati per automatizzare il gioco in un determinato
gioco al fine di raccogliere elementi all'interno del
gioco. Ad esempio, un bot di farming potrebbe
essere utilizzato per raccogliere gemme o elementi
rari, che vengono poi scambiati, oppure l'account
con tutti questi premi potrebbe essere venduto.
Gli account compromessi vengono spesso utilizzati
per il farming, quindi se vengono sospesi o chiusi,
il criminale responsabile dell'operazione non perderà
i propri account.
14[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 14
Abbiamo parlato degli attacchi contro piattaforme e servizi di gaming e adesso parleremo degli attacchi contro i giocatori stessi.
I criminali prendono di mira i giocatori direttamente tramite due modi diversi. Il primo è il phishing. Quando un criminale crea un sito web dall'aspetto legittimo correlato a un gioco o una piattaforma di gaming, con l'obiettivo di indurre i giocatori a rivelare le proprie credenziali di accesso, si parla di phishing. Un esempio di attacco di phishing contro gli utenti su Steam è illustrato nella Figura 7.
Nell'immagine, il riquadro indica quello che viene visualizzato dal kit di phishing quando si fa clic sul collegamento Aggiungi amico. Basta inserire le credenziali perché l'utente comprometta il proprio account. Attacchi come questo spesso provengono da messaggi casuali che offrono un elemento raro o uno scambio sulla piattaforma. Sono progettati per colpire gli utenti che hanno poca o nessuna consapevolezza di tali scam.
Fig. 7 - Una pagina di phishing Steam che prende di mira le credenziali di accesso
Utilizzo del gioco
15[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Fig. 8 - Vengono creati elenchi di credential stuffing mirati per una serie di
mercati e settori, incluso il settore del gaming
Il secondo modo più comune in cui i criminali
prendono di mira i giocatori è tramite il credential
stuffing, ovvero quando un criminale utilizza un elenco
di nomi utente e password e tenta di accedere
a un gioco o un servizio di gaming utilizzando ogni
voce nell'elenco. Ogni accesso riuscito comporta
la compromissione dell'account di un giocatore.
Per semplificare il processo di credential stuffing,
i fornitori su vari mercati offrono raccolte di elenchi
mirati. Nella Figura 8 è riportato un esempio di questi
elenchi che prendono di mira il settore del gaming.
Il venditore invia gli elenchi in blocco, con una tariffa
corrente di $5 a milione di record. Il riferimento a
"privato" indica che i nomi utente e le password
venduti non fanno parte di nessuno degli elenchi
di gaming scambiati; sono nuovi al momento della
pubblicazione della vendita.
Sono numerosi gli attacchi di credential stuffing
che si stanno verificando. Nel periodo compreso
tra luglio 2018 e giugno 2020, Akamai ha osservato
100.195.620.436 di attacchi di credential stuffing
sferrati contro tutti i settori. Solo nel settore del
gaming sono stati registrati 9.831.295.227 di attacchi.
27 ott 2018 185.692.357
7 ott 2019 85.846.516
25 lug 2018 87.555.771
0 Mio
100 Mio
200 Mio
300 Mio
1 lug2018
1 ott 2018
1 gen 2019
1 apr 2019
1 lug 2019
1 ott 2019
1 gen2020
1 apr 2020
1 lug 2020
Tent
ativ
i di a
cces
so d
anno
si (m
ilio
ni)
Tutti i settori verticali Gaming
Tentativi di abuso di credenziali quotidiani
luglio 2018 - giugno 2020
Fig. 9 - Gli attacchi di credential stuffing nel settore del gaming sono rimasti una minaccia costante negli ultimi due anni e sono
aumentati nel primo trimestre del 2020
16[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Nella Figura 9, abbiamo tracciato gli attacchi di credential stuffing nel tempo, ma abbiamo rimosso dal set di dati un cliente che non apparteneva al settore del gaming perché il suo volume di attacchi ha generato una quantità di traffico significativo che, includendolo, avrebbe abbassato la linea del gaming a un livello appena visibile. Inoltre, l'utente è stato rimosso perché al momento dello sviluppo del rapporto erano disponibili solo sei mesi di dati.
Come si può vedere, gli attacchi di credential stuffing contro il settore del gaming si sono verificati in modo costante, proprio come gli attacchi web di cui abbiamo discusso in precedenza. Tuttavia, con l'inizio dei lockdown causati dal COVID-19 nel primo trimestre del 2020, si è registrato un forte picco di attività di credential stuffing, dovuto a una serie di fattori, come la necessità, da parte dei criminali, di provare le credenziali rubate durante precedenti violazioni di dati per verificare l'eventualità di compromettere nuovi account.
Un esempio molto diffuso in questo senso sono stati gli attacchi a Zoom. Pur non essendo un canale di gioco, le stesse tattiche utilizzate contro il popolare strumento di comunicazione (inclusa la scansione e la verifica dell'account, così come il credential stuffing diretto) sono state utilizzate anche contro il gaming e altre piattaforme di intrattenimento.
Come accennato in precedenza in questo rapporto, molte persone hanno utilizzato il gaming come mezzo di interazione sociale durante il lockdown. I criminali non hanno perso tempo prendendole direttamente di mira. L'offerta mostrata nella Figura 8 costituisce solo un esempio di come il nuovo test di vecchi dati e i nuovi attacchi SQLi abbiano portato a una nuova serie di credenziali per prendere di mira i giocatori. Altri esempi, inclusi gli annunci per gli account Steam, Minecraft, Epic Games e uPlay nella Figura 10, rappresentano elenchi più mirati, rivolti a persone alla ricerca di giochi particolari.
Fig. 10 - Le offerte sulla darknet includono vendite mirate
basate sulla piattaforma o sul gioco
Molte persone hanno utilizzato il gaming come mezzo di interazione sociale durante il lockdown. I criminali non hanno perso tempo prendendole direttamente di mira."
17[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
dei giocatori assidui afferma di essere
preoccupato o molto preoccupato
di un'eventuale compromissione
(violazione o hijacking) dei propri
account di gaming.
dei giocatori assidui ha detto di
aver subito la violazione di uno
dei propri account in passato20% 55%
I giocatori sono gli elementi più vulnerabili e più
colpiti nel settore del gaming. L'elemento umano
è sempre il più difficile da controllare e proteggere,
quindi questa rivelazione non sorprende.
Il nostro sondaggio offre un buon esempio di questo
difficile equilibrio. Più della metà dei giocatori abituali
ha affermato di aver subito violazioni dei propri
account, ma solo un quinto ha affermato di essere
preoccupato per questo tipo di eventi. Perché c'è
questo distacco?
È possibile che i giocatori stessi non considerino il
valore dei dati associati collegati ai propri account
di gaming. È possibile che la propria experience
di gioco non cambi anche se un account viene
compromesso. Le persone affrontano il rischio in
modi diversi e i giocatori non fanno eccezione.
Foto
: Dre
amH
ack/
Kim
Ven
tura
Un equilibrio perfetto
18[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Resta il fatto che i giocatori rappresentano il bersaglio
più allettante perché hanno diverse qualità apprezzate
dai criminali. Sono coinvolti e attivi nelle comunità
social. Nella maggior parte dei casi, tendono a
spendere, in genere, sui propri account di gaming e
durante le experience di gioco. Quando questi fattori
sono combinati, i criminali considerano il settore del
gaming come un ambiente ricco di bersagli.
Quindi, chi è responsabile della protezione dei
giocatori? I giocatori sono responsabili della
propria protezione? Questa responsabilità ricade
sullo sviluppatore del gioco o sulla società di
gaming? O su entrambi in modo uguale?
"Secondo me, tutte le misure di sicurezza dovrebbero
essere controllate dalle società di gaming. Noi [i
giocatori] acquistiamo giochi, servizi, ecc. dando per
scontato che dovremmo essere in grado di utilizzarli
comodamente e senza problemi", ha commentato
Nate Collard, un giocatore che si guadagna da vivere
con lo streaming su Twitch. La sua opinione è simile a
quella di molti altri giocatori che spesso vogliono solo
giocare, senza preoccuparsi di doversi difendere dagli
attacchi.
Nate Collard aggiunge, "Tuttavia, per poter giocare
alla maggior parte dei giochi, bisogna comunque
fornire le proprie informazioni personali, conti correnti,
ecc. Penso che questo sottoponga le persone a un
rischio ancora maggiore".
All'estremo opposto, un giocatore che lavora nel
settore della sicurezza, Chris Hawkins, ci ricorda che
la sicurezza è responsabilità di tutti.
"Quando si tratta di proteggere account e
transazioni, le aziende dovrebbero essere la prima
linea di difesa nella protezione degli utenti e della
relativa online experience. Ciò può anche avvenire
proteggendo innanzitutto gli utenti da loro stessi,
mediante l'applicazione di requisiti minimi quali la
lunghezza e la complessità delle password, nonché
l'autenticazione a più fattori", ha spiegato.
"Oggi, la sicurezza e la consapevolezza in questo
settore sono più essenziali che mai. Il gaming è
andato oltre il semplice consumo, poiché gli eSport
e lo streaming dei giochi hanno acquisito maggiore
legittimità e presenza. Sono diversi i singoli e le
aziende che hanno un interesse finanziario nel
successo generale del settore e, se gli account
vengono violati e la fiducia compromessa, non ci
sarebbe alcun successo".
Il settore del gaming è d'accordo con entrambe
le posizioni, in una certa misura, soprattutto per
quanto riguarda la consapevolezza della sicurezza e
il controllo sui meccanismi di protezione dell'account.
degli intervistati che ha subito un
attacco afferma che la responsabilità
relativa alla sicurezza è condivisa tra il
giocatore e lo sviluppatore/la società
di videogame.
54%
19[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Di cosa si preoccuperebbero i partecipanti se i propri account venissero violati:
accesso all'account
Sono consentite più risposte
informazioni sulla
carta di credito
49% 48%risorse interne al gioco
(skin, armi speciali, ecc.)
43%
Il motivo per cui le raccolte di violazioni dei dati precedenti vengono utilizzate dai criminali è in gran parte dovuto al riciclaggio e al riutilizzo delle password. Pertanto, una violazione dei dati su un forum di film potrebbe causare la compromissione di un account di gaming, se la vittima ha utilizzato la stessa password in entrambi i luoghi. Questo è il motivo per cui è così importante non condividere o riutilizzare mai le password e per il quale i gestori di password sono uno strumento di sicurezza essenziale online.
I giganti del gaming, come Ubisoft, Epic Games, Valve e Blizzard, incoraggiano l'utilizzo dell'autenticazione multifattore, per aggiungere un ulteriore livello di protezione. In alcuni casi, offrono persino applicazioni di autenticazione. Tuttavia, a meno che queste protezioni non siano effettivamente utilizzate dai giocatori, non possono aiutarli a proteggere i propri account.
Dati vecchi. Attacchi nuovi.
Quando i criminali utilizzano il credential stuffing, l'obiettivo è il controllo dell'account, che è esattamente ciò di cui si preoccupano i partecipanti al sondaggio di DreamHack/Akamai. I criminali sono alla ricerca di risorse interne al gioco che possono essere scambiate o vendute, dettagli dell'account e informazioni personali (che possono essere scambiate o vendute) e informazioni finanziarie, che possono essere compromesse e utilizzate per furti finanziari. Inoltre, i criminali cercano anche account a cui sono associati un ampio numero di giochi o account che hanno accesso al gioco più popolare del momento.
I criminali ottengono i nomi utente e le password necessari per il credential stuffing in diversi luoghi. Come accennato in precedenza, i criminali condurranno attacchi SQLi per ottenere i dettagli di accesso. In passato, i criminali hanno preso di mira i
forum correlati a discussioni sul gaming utilizzando questo metodo. Questi luoghi sono ambienti pieni di giocatori noti e rappresentano quindi un obiettivo ideale.
In un mercato criminale, una raccolta di database di gaming è in vendita dal 2019 e prende di mira i fan di titoli popolari come Battlefield, Minecraft, Counter-Strike: Global Offensive (CS:GO) e Witcher, nonché società di gaming come Ubisoft e Bandai Namco.
Alcuni di questi database sono raccolte di precedenti violazioni dei dati, ma nella vendita sono state aggiunte alcune versioni più recenti. Tutti i database venduti in questa raccolta sono disponibili singolarmente e vengono utilizzati ancora oggi negli attacchi di credential stuffing.
20[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Gli Stati Uniti sono stati la principale origine per
il credential stuffing, seguiti da Cina e Russia
(Figura 11).
Considerando solo il settore del gaming (Figura 12),
la prima posizione è la stessa, ma la Cina scende
al quarto posto ed è sostituita dal Canada. L'anno
scorso, gli Stati Uniti erano la terza area di origine per
il credential stuffing contro il gaming, ma quest'anno
sono avanzati sostituendo la Russia come principale
origine di traffico generato dagli attacchi.
La causa di questo cambio è sconosciuta, ma
potrebbe essere correlata a una serie di fattori, tra
cui l'aumento del numero di persone rimaste a
casa durante i lockdown causati dalla pandemia o il
numero di RDP (Remote Desktop Protocol) e servizi
proxy negli Stati Uniti messi in vendita all'incirca
nell'ultimo anno. I dati relativi all'origine degli
attacchi e alla destinazione degli attacchi sono in
costante mutamento ed è difficile determinare una
singola origine o causa dei cambiamenti all'interno
del vasto pool di dati campionati.
Principali aree di origine per l'abuso di credenziali - Tutti i settori verticali
luglio 2018 - giugno 2020
AREA DI ORIGINE TENTATIVI DI ACCESSO DANNOSI POSIZIONE GLOBALE
Stati Uniti 34.935.239.915 1
Cina 4.871.373.517 2
Russia 4.057.633.311 3
Brasile 4.047.223.074 4
Thailandia 3.647.391.930 5
Fig. 11 - Gli Stati Uniti rimangono la principale origine di attacchi di credential stuffing in tutti i settori
Principali aree di origine per l'abuso di credenziali - Gaming
luglio 2018 - giugno 2020
AREA DI ORIGINE TENTATIVI DI ACCESSO DANNOSI POSIZIONE GLOBALE
Stati Uniti 1.521.791.715 1
Russia 1.074.537.783 3
Canada 1.045.782.596 10
Cina 671.047.993 2
Germania 536.160.008 8
Fig. 12 - Gli Stati Uniti sono avanzati di due posizioni dal 2019 sostituendo la Russia come principale origine di attacchi di credential
stuffing nel settore del gaming
21[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Quindi, abbiamo parlato di phishing e credential
stuffing, ma cosa possono fare i giocatori e i clienti
riguardo a questi attacchi?
La prima cosa da ricordare è questa: la maggior
parte delle piattaforme di gaming dispone di diverse
funzionalità per la sicurezza, ma è necessario attivarle
per poterle utilizzare. Questo approccio basato sul
consenso viene chiamato compromesso di sicurezza.
A volte la sicurezza può essere un po' problematica.
Le società di gaming desiderano rendere le vostre
experience il più agevoli possibili. In molti casi non
è possibile imporre diversi livelli di difesa se queste
protezioni rendono difficile o quasi impossibile
l'utilizzo del gioco. Se efficiente, la sicurezza dovrebbe
essere semplice e per molte delle più grandi società
di giochi AAA, è esattamente così.
Quindi, in un certo senso, quando Nate Collard ha
affermato che "tutte le misure di sicurezza dovrebbero
essere controllate dalle società di gaming", aveva
completamente ragione. Le società di gaming lo
riconoscono e dedicano ingenti quantità di risorse
e personale per garantire la sicurezza dei propri
giocatori.
Ma, come ha affermato Chris Hawkins, la sicurezza è
una responsabilità di tutti. Ciò significa che dovete
fare la vostra parte per mantenere forte la catena di
sicurezza.
Gestione degli attacchi
22[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Gestori di password: non importa quale gestore di password utilizzate, l'importante è utilizzarne uno. Scegliete il gestore più adatto alle vostre esigenze. L'obiettivo è assicurarsi che ogni password in uso sia univoca e non condivisa tra più siti web e servizi. Perché questo è così importante? Perché se si ricicla/riutilizza la stessa password su più siti web o servizi, la compromissione di un singolo account (tramite un attacco di phishing, ad esempio) potrebbe compromettere più account. Ciò, in sintesi, è essenzialmente il modo in cui funziona il credential stuffing quando tali attacchi hanno successo. La difesa più importante contro gli attacchi di credential stuffing è una password lunga e univoca per ogni account in uso, di gaming o di altro tipo.
Autenticazione a due fattori (2FA): 2FA è un sottoinsieme dell'autenticazione a più fattori, che richiede due diversi fattori durante la conferma dell'identità. In molti casi, si tratta di un identificativo noto (la password) e di un elemento che l'utente possiede (il telefono). Il telefono è l'elemento più comune in questo processo, poiché le app di autenticazione e i messaggi SMS forniscono il codice necessario per verificare l'identità dell'utente quando fornisce la password del proprio account. In assenza di uno dei due fattori, l'autenticazione non riesce e non è possibile accedere all'account.
Microsoft, Blizzard e Steam dispongono delle proprie app di autenticazione, ma altri, tra cui Ubisoft e Nintendo, vi consentiranno di utilizzare app di autenticazione di terze parti come Google Authenticator. Se non è disponibile un'app di autenticazione, la maggior parte delle società di gaming, come Sony, utilizzerà la verifica in due passaggi, fornendo un passcode unico al telefono tramite SMS.
L'utilizzo di SMS come parte di un processo di sicurezza, come la verifica in due passaggi, comporta alcuni rischi. Questo rischio si concentra principalmente sul telefono, in quanto la carta SIM può essere clonata o il dispositivo compromesso direttamente, eludendo l'aspetto della sicurezza basato sull'utilizzo di "un elemento che l'utente possiede". Per quanto riguarda il phishing, l'SMS 2FA non è in grado di impedire il phishing. Le notizie hanno riportato diversi esempi in cui la verifica tramite SMS è stata sfruttata dai criminali per ottenere l'accesso agli account, ad esempio gli autori di attacchi che hanno clonato le schede SIM o hanno utilizzato kit di phishing con il 2FA SMS implementato.
Lo sapevate?I gestori di password costituiscono un ottimo modo per proteggersi
dagli attacchi di phishing. Se vi trovate su un sito web in cui di solito il
nome utente e la password vengono compilati dal gestore di password
per l'utente, ma improvvisamente smette di funzionare, si tratta di un
gigantesco campanello di allarme.
Foto
: PU
BG
Cor
por
atio
n/PU
BG
Sea
son
8
23[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Nonostante queste potenziali vulnerabilità, se l'SMS è disponibile, è consigliabile usarlo a meno che non esista un metodo di verifica più efficace. Una qualunque cosa è sempre meglio di niente. Tuttavia, se è possibile scegliere tra 2FA SMS e un'app di autenticazione, utilizzate l'app, se desiderate le protezioni più potenti disponibili. Le protezioni a più livelli durante il processo di autenticazione sono essenziali e contribuiscono notevolmente a ridurre la gravità degli attacchi di credential stuffing e di phishing.
Altre azioni possibili per proteggere l'account includono assicurarsi di accedere tramite app e servizi ufficiali e non tramite terze parti. Ad esempio, utilizzando la pagina dello store o della community su Steam. Se, dopo aver fornito il nome utente e la password dell'account a una terza parte, viene richiesto di accedere a Steam, molto probabilmente vuol dire che si è verificato un attacco di phishing.
Infine, ricordate che l'assistenza clienti o il personale aziendale ufficiale per qualsiasi gioco che si utilizza, non vi contatterà mai e poi mai in modo casuale chiedendovi informazioni personali, dati finanziari o password per poter continuare a usare il gioco o l'account. Tanto meno questi membri del personale non richiederanno mai codici di autenticazione (Steam) o il codice di ripristino dell'applicazione di autenticazione (Blizzard). Ad essere franchi, quando vengono richiesti dati di questo tipo, si tratta quasi certamente di un autore di attacchi che vi ha preso di mira.
24[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 24
Le seguenti risorse potrebbero essere utili per proteggere gli account su alcune delle piattaforme e dei servizi più popolari.
Come utilizzare la verifica in due passaggi con l'account Microsoft
Impostazioni di sicurezza e privacy online di Xbox One per genitori e figli
MicrosoftProtezione di un account Blizzard
Account attaccato con un'applicazione di autenticazione
Ricezione di un'e-mail sospetta da Blizzard (Phishing)
BlizzardConsigli per la sicurezza dell'account
Tipi di scam comuni
Steam
Protezione dell'account con la verifica in due passaggi (app mobili)
Riconoscere la comunicazione Ubisoft legittima
UbisoftCome configurare la verifica in due passaggi per un account Nintendo
NintendoCome attivare la verifica in due passaggi su PS4
Come mantenere sicuro l'account su PlayStation Network
Sony
Risorse aggiuntive
25[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Gli attacchi web sono costanti. Gli attacchi di credential stuffing possono trasformare le precedenti violazioni di dati (ossia quelle risalenti ad una settimana prima) in nuovi incidenti che influiscono su migliaia (e, a volte, milioni) di persone e organizzazioni di tutte le dimensioni. Gli attacchi DDoS creano il caos nel mondo delle comunicazioni e delle connessioni istantanee.
Questi sono problemi che giocatori, consumatori e leader aziendali devono affrontare quotidianamente. Quest'anno, questi problemi non hanno fatto altro che peggiorare e lo stress che hanno causato è stato amplificato da una minaccia letale invisibile, nota come COVID-19.
Questo rapporto è stato pianificato e scritto per la maggior parte durante il lockdown causato dal COVID-19 e se c'è una cosa che ha consentito al nostro team di mantenere l'equilibrio, è stata l'interazione sociale costante e la consapevolezza di
non essere soli con le nostre ansie e preoccupazioni. Per due di noi, quell'interazione sociale avveniva tramite il gioco.
Ma la situazione non è del tutto cupa e, riguardo alla sicurezza, le aziende stanno concentrando sempre più le proprie energie sulla protezione dei propri giocatori. Gli stessi giocatori stanno iniziando a rendersi conto dell'efficacia dei controlli di sicurezza e li stanno sfruttando regolarmente. Nel sondaggio DreamHack/Akamai, i partecipanti hanno riconosciuto la propria disponibilità e l'uso attivo di protezioni aggiuntive, ad esempio, gestori di password e 2FA. Questo è un bene.
Se volete aiutare gli altri, specialmente se siete giocatori, potete condividere questo rapporto con chi non lavora nei settori della sicurezza e della tecnologia per aiutarli a proteggersi. Una dose di consapevolezza e la giusta preparazione contribuiscono sicuramente a sventare un attacco.
Conclusioni
Tenete presente che non si tratta solo di proteggere gli account di gaming. Alcune vittime
sono state prese di mira molto prima che i propri profili di gioco venissero compromessi.
I criminali prenderanno di mira qualunque cosa, inclusi e-mail e social media e utilizzeranno
tali reti affidabili e presunti spazi sicuri come trampolino di lancio verso altri target e per
nuovi attacchi.
Abbiamo tutti un ruolo da svolgere quando si tratta di proteggere la community di giocatori e
la più ampia community di Internet. La consapevolezza del problema, così come la volontà di
utilizzare gli strumenti disponibili per proteggere se stessi e gli altri, è fondamentale.
Proteggetevi!
26[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Foto
: Dre
ram
Hac
k/Em
ma
And
erss
on
27[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 27
Note generaliI dati utilizzati per tutte le sezioni erano limitati allo stesso periodo di 24 mesi: dal 1° luglio 2018 al 30
giugno 2020, salvo diversamente indicato di seguito.
Aree di "origine" e di "destinazione" degli attacchiPer le richieste contrassegnate come attacco all'applicazione o tentativo di abuso delle credenziali, l'area di origine viene determinata utilizzando l'indirizzo IP di origine connesso a uno degli edge server di Akamai e il nostro servizio di geolocalizzazione interno, Edgescape. Akamai sfrutta la propria rete estremamente vasta e l'elevata visibilità per verificare e mantenere i dati di geolocalizzazione, che sono accurati al 99% a livello di paese.
L'origine del traffico non deve essere confusa con l'attribuzione della posizione dell'aggressore.
L'attribuzione implica la determinazione della posizione della persona o dell'organizzazione che controlla l'attacco. È relativamente facile determinare la provenienza del traffico, mentre è estremamente difficile determinare chi ha causato la generazione del traffico senza un team di ricercatori dedicato. E anche in questo caso, è quasi impossibile su questa scala.
In base alla nostra definizione di area di origine, si può presumere che l'area di destinazione sia determinata dall'indirizzo IP che ha ricevuto la richiesta dannosa, ma non è così. Se lo fosse, l'elenco delle destinazioni principali sarebbe probabilmente abbastanza simile poiché gli edge server di Akamai sono distribuiti nella maggior parte dei paesi. Invece, l'area di destinazione di un attacco viene definita come la posizione principale del cliente che è stato preso di mira. Molte organizzazioni dispongono di una rete e di un ambiente di servizi ampiamente distribuiti e la raccolta di dati in base a dove vengono forniti sarebbe problematica a più livelli.
Metodologie
28[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Protezione dei server
Attacchi alle applicazioni webQuesti dati descrivono gli avvisi a livello di applicazione generati da Kona Site Defender e Web Application Protector. I prodotti attivano questi avvisi quando rilevano un payload dannoso all'interno di una richiesta a un sito web o un'applicazione protetta. Gli avvisi non indicano una compromissione riuscita. Sebbene questi prodotti consentano un alto livello di personalizzazione, i dati qui presentati sono stati raccolti senza prendere in considerazione le configurazioni personalizzate delle proprietà protette.
I dati sono stati presi da Cloud Security Intelligence (CSI), uno strumento interno per lo storage e l'analisi degli eventi di sicurezza rilevati sulla Akamai Intelligent Edge Platform. Questa è una rete di circa 300.000 server in 4.000 posizioni su 1.400 reti in 135 paesi. I nostri team addetti alla sicurezza utilizzano questi dati, misurati in petabyte al mese, per effettuare ricerche sugli attacchi, segnalare comportamenti dannosi e includere ulteriore intelligence nelle soluzioni Akamai.
DDoSProlexic Routed difende le organizzazioni dagli attacchi DDoS reindirizzando il traffico di rete tramite gli scrubbing center di Akamai e consentendo solo il traffico pulito. Gli esperti del SOCC (Security Operations Command Center) di Akamai personalizzano i controlli di mitigazione proattivi per rilevare e bloccare immediatamente gli attacchi ed eseguono analisi del traffico rimanente in tempo reale per determinare ulteriori misure di mitigazione, in base alle necessità. Gli eventi di attacco DDoS vengono rilevati dal SOCC o dalla stessa organizzazione mirata, a seconda del modello di implementazione scelto, "always-on" o "on-demand", ma il SOCC registra i dati per tutti gli attacchi mitigati. In modo simile al traffico delle applicazioni web, l'origine è determinata dall'origine del traffico IP prima della rete di Akamai.
Questi dati riguardavano un periodo di 12 mesi: dal 1° luglio 2019 al 30 giugno 2020.
29[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Utilizzo del gioco
Abuso di credenzialiI tentativi di abuso di credenziali sono stati identificati come tentativi di accesso non riusciti ad account che utilizzano un indirizzo e-mail come nome utente. Utilizziamo due algoritmi per distinguere tra tentativi di abuso e utenti reali che non riescono a digitare. Il primo algoritmo è una semplice regola volumetrica che conta il numero di tentativi non riusciti a un indirizzo specifico. Questo metodo differisce da ciò che una singola organizzazione potrebbe essere in grado di rilevare perché Akamai mette in correlazione dati provenienti da centinaia di organizzazioni.
Il secondo algoritmo utilizza i dati provenienti dai nostri servizi di rilevamento dei bot per identificare un abuso di credenziali da botnet e strumenti noti. Una botnet ben configurata può evitare il rilevamento volumetrico distribuendo il suo traffico su numerosi obiettivi, usando un gran numero di sistemi durante la sua operazione di scansione, o distribuendo il traffico nel tempo, solo per menzionare alcuni esempi di elusione.
Anche questi dati sono stati presi dal repository di CSI.
Sondaggio DreamHackI sondaggi sono complicati; sono una richiesta di opinioni su un argomento e più opinioni non costituiscono un dato. Quando si progetta un sondaggio, è necessario essere consapevoli di come la progettazione e l'esecuzione potrebbero influenzare i dati delle risposte. Riconoscere i pregiudizi inerenti alle proprie domande è fondamentale quando ci si rivolge a una popolazione specifica, come i giocatori.
Il sondaggio di DreamHack/Akamai è stato proposto ai giocatori mediante la promozione sui social media e offrendo agli intervistati la possibilità di vincere una carta regalo Steam da 1.000 corone svedesi (SEK). Sebbene il sondaggio fosse aperto a tutti gli utenti con un collegamento appropriato, era molto probabile che gli utenti svedesi fossero più motivati dall'incentivo e si presume che rappresentino la maggior parte degli intervistati. Più di 1.200 giocatori hanno risposto al sondaggio e, sebbene non crediamo che questo rappresenti accuratamente tutti i giocatori, offre un buon quadro di un campione significativo di giocatori.
Il sondaggio è stato disponibile dal 16 aprile al 31 maggio 2020.
30[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
702
985Mitigazione attiva richiesta
Mitigati parzialmente
Premitigati
0% 25% 50% 75% 100%
Percentuale di attacchi totali
Ris
ulta
to d
ella
miti
gaz
ione
Settore verticale Altro Gaming
Totale di attacchi:3.937
Eventi di attacchi DDoS in base al risultato della mitigazione, settore del gaming rispetto ad altri settori
luglio 2019 - giugno 2020
Appendice
31[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Eventi di attacchi DDoS in base al segmento verticale e al risultato della mitigazione
luglio 2019 - giugno 2020
Totale di attacchi:3.072
862
662
286
186
125
116
81
78
54
40
29
26
7Farmaceutico/sanitario
Manifatturiero
Sconosciuto
Pubblica amministrazione
Gioco d'azzardo
Social media
Altri contenuti multimediali digitali
Servizi business
Commercio
Contenuti multimediali video
No profit/Istruzione
Servizi finanziari
High-tech
Gaming
0% 25% 50% 75% 100%
Percentuale di attacchi totali
Risultato della mitigazione Premitigati Mitigati parzialmente Mitigazione attiva richiesta
Principali aree di origine per gli attacchi alle applicazioni web contro tutti i settori verticali - Asia Pacifico
luglio 2018 - giugno 2020
AREA DI ORIGINE TOTALE DI ATTACCHI POSIZIONE GLOBALE
Cina 460.914.627 4
India 356.046.674 6
Thailandia 177.934.268 12
Singapore 143.436.266 16
Indonesia 134.356.852 17
Giappone 109.610.415 19
Hong Kong SAR 90.727.016 22
Vietnam 88.634.484 23
Taiwan 84.014.121 24
Corea del Sud 58.412.763 28
32[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Principali aree di origine per gli attacchi alle applicazioni web contro tutti i settori verticali - Americhe
luglio 2018 - giugno 2020
AREA DI ORIGINE TOTALE DI ATTACCHI POSIZIONE GLOBALE
Stati Uniti 2.435.701.993 1
Belize 302.937.328 7
Brasile 260.210.075 9
Panama 210.844.120 11
Canada 144.807.266 15
Messico 37.856.641 36
Argentina 36.564.348 37
Colombia 24.291.358 45
Venezuela 23.304.334 46
Cile 14.918.952 55
Principali aree di origine per gli attacchi alle applicazioni web contro tutti i settori verticali - EMEA
luglio 2018 - giugno 2020
AREA DI ORIGINE TOTALE DI ATTACCHI POSIZIONE GLOBALE
Russia 1.611.382.489 2
Paesi Bassi 999.514.976 3
Ucraina 362.284.152 5
Germania 273.444.936 8
Irlanda 257.264.198 10
Regno Unito 169.171.768 13
Francia 163.122.139 14
Romania 114.689.010 18
Turchia 105.874.601 21
Israele 64.392.342 26
33[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 33
I vostri account di gaming sono mai stati compromessi/violati?
Quanto sono preoccupati i giocatori di una possibile violazione degli account?
Sì: 51,8 % (649 intervistati)
No: 41,7 % (522 interv.)
Forse, ma non lo so: 5,8% (72 interv.)
Non so: 0,7% (9 interv.)
Non ci ho pensato/non sono preoccupato: 50% (632)
Neutrale: 32% (398)
Preoccupato/molto preoccupato: 18% (222)
Non ci ho pensato/non sono preoccupato: 48% (485)
Neutrale: 32% (330)
Preoccupato/molto preoccupato: 20% (203)
Non preoccupato/neutrale: 92%
Preoccupato/molto preoccupato: 8%
Tutti i giocatori
Giocatori assidui (quotidianamente + diverse volte al giorno - 1.018 persone)
Giocatori non assidui
Risposte al sondaggio
34[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2
Tra gli utenti che hanno subito un attacco in passato…(649)
17,1% (111)
14,8% (96)
Tra i giocatori assidui…(1.018)
68,8% (700)
75,4% (768) 16,6% (169)
22% (224) 22,5% (229)
50,8% (517)
Utente
Società di gaming
Organizzatori di eventi
Utente + società congiuntamente
Tutti
Solo l'utente
Solo le società
70,4% (457)
77% (500)
21,9% (142) 21,4% (139)
53,9% (350)
Utente
Società di gaming
Organizzatori di eventi
Utente + società congiuntamente
Tutti
Solo l'utente
Solo le società
16,8% (171)
[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 34
Se il vostro account venisse violato, cosa vi preoccupereste di più di perdere?
Informazioni sulla carta di credito
Accesso all'account
Risorse interne al gioco (skin rare,
armi speciali, strumenti particolari, ecc.)
Altro
49,1% (615)
47,7% (597)
42,1% (540)
1,7% (?)
Chi dovrebbe essere responsabile della cybersicurezza nel gaming?
Utente67,4%(844)
Tutti17,4%(218)
Società di gaming76,2%(955)
Solo l'utente15,6%(195)
Solo le società di gaming23,4%(293)
Organizzatori di eventi23,1%(290)
Utente + società congiuntamente50,4%(631)
Solo gli organizzatori di eventi1,8%(23)
35[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 35
CS: GO
Altro
League of Legends
World of Warcraft
Minecraft
Call of Duty
Apex Legends
PUBG
Halo
Dota
StarCraft
Hearthstone
Fortnite
FIFA
Clash of Clans
Qual è il vostro gioco preferito?
48% (177)
16% (60)
7% (27)
44% (161)
8% (30)
5% (20)
24% (87)
8% (28)
5% (17)
2% (8)
1% (3)
18% (66)
17% (63)
4% (13)
3% (12)
Siete mai stati coinvolti in vendite o scambi online di account violati/risorse all'interno del gioco?
Avete subito tentativi di phishing all'interno del gioco (ad esempio, richieste di messaggi privati per la verifica delle credenziali)?
Sì, a volte: 50% (184)
No: 20% (73)
Sì, spesso: 20% (72)
Non so: 11% (41)
Sì: 67% (248)
No: 33% (122)
36[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2[stato di Internet] / security Gaming - La sicurezza è un gioco di squadra: volume 6, numero 2 36
Qual è la vostra opinione sugli account compromessi e sulle risorse vendute sul mercato nero? (scala 1-5)
Quali misure prendete per proteggere i vostri account di gaming? (risposta multipla)
1 Non mi interessa: 2% (8)
2 2% (8)
3 5% (19)
4 20% (73)
5 Una cosa orribile, bisognerebbe impedirlo: 71% (262)
Il 91% degli intervistati ritiene che gli account violati e
le risorse vendute sul mercato nero siano una cosa grave
e il 71% pensa che bisognerebbe impedirli.
Autenticazione multifattore
Gestore di password
Uso della rete VPN
Nessuna delle opzioni precedenti
Altro
MFA + gestore di password
MFA + VPN
MFA + gestore di password + VPN
89% (329) 3% (11)
30% (111) 23% (86)
12% (45) 7% (26)
7% (24) 4% (13)
Collaboratori del rapporto sullo stato di Internet - Security
MarketingGeorgina Morales Hampe
Project Management, Creative
Murali Venukumar
Program Management, Marketing
Riconoscimenti
Akamai garantisce experience digitali sicure per le più grandi aziende a livello mondiale. La piattaforma edge intelligente di Akamai
permea ogni ambito, dalle aziende al cloud, permettendovi di lavorare con rapidità, efficacia e sicurezza. I migliori brand a livello
globale si affidano ad Akamai per ottenere un vantaggio competitivo grazie a soluzioni agili in grado di estendere la potenza delle
loro architetture multicloud. Più di ogni altra azienda, Akamai avvicina agli utenti app, experience e processi decisionali, tenendo
lontani attacchi e minacce. Il portfolio Akamai di soluzioni per l'edge security, le web e mobile performance, l'accesso aziendale e la
delivery di contenuti video è affiancato da un servizio clienti di assoluta qualità e da un monitoraggio 24/7/365. Per scoprire perché i
principali brand del mondo si affidano ad Akamai, visitate il sito www.akamai.com o blogs.akamai.com e seguite @Akamai su Twitter.
Le informazioni di contatto internazionali sono disponibili all'indirizzo www.akamai.com/locations. Data di pubblicazione: 09/20.
Responsabili editoriali
Ringraziamenti specialiElisabeth Bitsch-Christensen
Field Marketing Manager
Martin McKeay
Editorial Director
Amanda Goedde
Senior Technical Writer, Managing Editor
Chelsea Tuttle
Data Scientist
Steve Ragan
Senior Technical Writer, Editor
Lydia LaSeur
Data Scientist
Altri rapporti sullo stato di Internet - SecurityLeggete le edizioni precedenti e date un'occhiata ai prossimi rapporti Stato di Internet - Security.
akamai.com/soti
Altre informazioni sulla ricerca delle minacce AkamaiRestate aggiornati con le ultime analisi dell'intelligence sulle minacce, rapporti sulla sicurezza e ricerche
sulla cybersicurezza. akamai.com/threatresearch
Accesso ai dati dal rapportoPotete visualizzare i grafici e i diagrammi citati in questo rapporto in versioni di alta qualità. L'utilizzo e
la consultazione di queste immagini sono forniti a scopo gratuito, purché Akamai venga debitamente
citata come fonte e venga conservato il logo dell'azienda. akamai.com/sotidata