I ricercatori di Kromtech Security descrivono come si sono imbattuti per la prima volta nell’anello di riciclaggio di denaro a metà giugno, quando hanno analizzato un database MongoDB non sicuro.
Il database, che era liberamente accessibile al pubblico senza password, conteneva migliaia di dettagli di carte di credito. Tuttavia, i ricercatori hanno rapidamente supposto di non essersi imbattuti in una storia, fin troppo familiare, di una società disattenta con i dati dei propri clienti, ma piuttosto con un database appartenente a ladri di carte di credito.
E questa particolare banda sperava di riciclare denaro rubato da questi conti attraverso giochi mobili.
Come saprà chiunque abbia usato molti dei più famosi giochi per smartphone, la domanda di soldi nel gioco è notevole. Molti giocatori sono dipendenti dalla smania di avanzare nei livelli del gioco, o frustrati dalle meccaniche di un gioco libero che però li costringe ad attendere un lungo periodo di tempo per sbloccare alcune funzionalità. Inevitabilmente questo ha portato alcuni giocatori a cercare di trovare scorciatoie non ufficiali per fare progressi.
I ricercatori di sicurezza si sono resi conto di avere a che fare con una banda di riciclatori che aveva creato un sofisticato meccanismo automatizzato per creare account Apple ID falsi con informazioni rubate sulle carte, e poi acquistare “oro”, “gemme” virtuali e altri potenziamenti in-game all’interno dei giochi.
Questi gadget virtuali sarebbero poi stati venduti ad altri giocatori su mercati di terze parti come G2G. In breve, la banda stava ricevendo denaro in cambio della valuta del gioco o dei power-up, senza alcun collegamento evidente ai dati della carta di credito rubata.
In questo caso particolare, si dice che i truffatori abbiano preso di mira giochi popolari come “Clash of Clans” e “Clash Royale”, così come “Marvel Contest of Champions” di Kabam. Kromtech dichiara che questi tre giochi hanno da soli oltre 250 milioni di utenti aggregati, generando entrate per circa 330 milioni di dollari all’anno.
La pura popolarità di questi giochi, e il denaro che generano, era chiaramente troppo allettante perché i criminali resistessero al tentativo di rubare la propria fetta di torta.
Supercell, sviluppatore di “Clash of Clans” e “Clash Royale”, avverte i giocatori di non essere ingannati nell’acquistare gemme o diamanti economici da siti di terze parti non autorizzati – non solo il tuo account potrebbe essere permanentemente bannato, ma potresti essere segnalato dal controllo del tuo ID Apple e l’account Google Play come criminale.
Secondo il parere dei ricercatori, si può fare di più per impedire ai criminali organizzati di riciclare denaro tramite i giochi mobili. Sostengono che dovrebbero essere presi ulteriori provvedimenti per verificare meglio i dettagli, i nomi e gli indirizzi delle carte di credito quando vengono creati gli account ID Apple. Inoltre, i fornitori di servizi sono chiamati a proteggere meglio i loro processi di creazione degli account da abusi da parte di strumenti automatici. E sia Apple sia gli stessi sviluppatori di giochi sono invitati a migliorare l’applicazione delle policy ed a tracciare meglio chi abusa dei loro sistemi.
Probabilmente, non avremmo saputo che questo schema criminale si stava svolgendo, se i riciclatori di denaro non avessero lasciato incautamente il loro database con i dettagli della carta di credito esposto su internet.