I giocatori di Naive Runescape vengono presi di mira da una pericolosa truffa di phishing (si apre in una nuova scheda) che prende di mira i loro preziosi oggetti di gioco.
I ricercatori di cybersecurity di Malwarebytes hanno rilevato una nuova campagna di phishing che inizia con un'e-mail ai giocatori di Runescape, sostenendo di provenire da Jagex Support, la società che ha creato e mantiene il gioco.
Nell'e-mail, la vittima viene informata che l'indirizzo e-mail associato all'account è stato modificato.
rubare beni virtuali
L'e-mail afferma inoltre che se il nome utente e la password (si apre in una nuova scheda) per il gioco non sono stati modificati (questo è essenziale, ci arriveremo un po' più tardi), cambiare l'e-mail significa che tutte le modifiche future al le credenziali andranno al nuovo indirizzo.
Più in basso nell'e-mail, alle vittime viene fornito un pulsante e un collegamento attraverso il quale possono annullare la modifica. All'indirizzo fornito, troveranno un sito di phishing che sembra quasi identico al sito di accesso legittimo di Runescape e ha un dominio il più vicino possibile al portale legittimo.
Lì possono accedere con le loro credenziali (che non sono state modificate, ricordi?). Una volta che tentano di connettersi, i dati vengono automaticamente inviati a un canale Discord di proprietà dei criminali.
Ma non è tutto. Gli aggressori hanno inoltre ideato una “misura di sicurezza aggiuntiva”. Dopo aver inserito le credenziali di accesso, gli utenti devono anche inserire il proprio PIN bancario in-game, ed è qui che inizia il vero problema.
Runescape è un gioco di ruolo online multiplayer di massa free-to-play che ha più di due decenni. In esso, i giocatori possono ottenere oggetti rari, sia attraverso una dura macinazione o acquisti, usando denaro reale. Possono conservare questi oggetti di valore nella loro banca di gioco e, per quanto sciocco possa sembrare ad alcuni, questi conti possono costare migliaia di dollari.
Se gli aggressori ottengono le credenziali di accesso e il PIN della banca nel gioco, possono facilmente accedere all'account dal proprio terminale (si apre in una nuova scheda), trasferire quegli oggetti di valore su un altro account, dove possono venderli a terzi . per soldi veri
Come al solito, gli utenti sono avvisati di prestare sempre attenzione alle e-mail in arrivo, in particolare quelle contenenti collegamenti e allegati.
Via: BleepingComputer (si apre in una nuova scheda)