A cura di Scott Clements, President e COO – VASCO Data Security
Il fiorente mercato del gioco online ha riscontrato diversi problemi per quanto riguarda le pratiche di sicurezza e di autenticazione. Nel mondo online, tanto il mercato del gioco d’azzardo (gambling) quanto quello dei normali giochi multiplayer devono confrontarsi con il proliferare di falsi account e con episodi di furti di account che consentono ai criminali di sfruttare i servizi offerti per ottenere indebiti guadagni monetari. Nel gambling online i potenziali problemi possono apparire più evidenti con l’appropriazione di account e il conseguente accesso da parte di minori, giocatori incalliti o truffatori a servizi che gli dovrebbero essere vietati. Tuttavia, gli account per i giochi multiplayer online sono ugualmente a rischio, in quanto rappresentano enormi serbatoi di dati personali che, se violati, possono essere venduti in-game o in cambio di soldi reali.
Dall’introduzione di World of Warcraft, il gioco online è diventato un’enorme industria globale. Milioni di persone accedono ogni singolo giorno e condividono informazioni sensibili al fine di pagare abbonamenti o per fare acquisti in-game. A partire dal 2005, come riporta Statista (società di analisi statistica), il mercato del gioco online è triplicato ed ha attualmente un valore di oltre 41 miliardi di dollari. Questa cifra è destinata a crescere di un altro 11%, in base a un recente report di Technavio. In Italia, secondo l’Osservatorio Gioco Online del Politecnico di Milano, nel 2015 il mercato del gioco online è cresciuto del 13%, con una spesa complessiva di 821 milioni di Euro, mentre per la Commissione Europea il valore del mercato per il gioco d’azzardo online in Europa, nonostante la rigida regolamentazione, ha superato i 14 miliardi di Euro, con alcune fonti che parlano addirittura di 16 miliardi di Euro.
Gli account del gaming online sono un obiettivo ambito
Con tanto denaro sul piatto, è del tutto normale che i criminali informatici “entrino in gioco”. Eventi su larga scala, come la violazione del PlayStation Network nel 2011, in cui sono stati compromessi 77 milioni di account, fanno molto scalpore. Tuttavia è solo la punta dell’iceberg, dal momento che i singoli utenti si confrontano regolarmente con l’appropriazione dei propri account.
Gli account violati di utenti di servizi che consentono l’acquisto di giochi online sono venduti al mercato nero per circa 50 Euro, che di solito è un “buon affare” visto che il valore dei giochi legati a tali account può superare i 500 Euro. Poiché la maggior parte dei servizi richiede un’email di conferma per le modifiche delle credenziali di accesso, per aggirare questo ostacolo succede anche che i criminali informatici ingannino i dipendenti delle società di gaming online con tecniche di social engineering.
La vittima principale rimane l’utente, che non solo rischia acquisti effettuati a suo nome, ma anche la sottrazione di credenziali personali che permettono il furto di identità, con conseguenze di vasta portata. Gli account rubati per i giochi multiplayer online sono anche un veicolo diffuso per riciclaggio di denaro sporco, per esempio spendendolo per una valuta in-game che viene poi rivenduta ai giocatori. Secondo Kaspersky, solo su eBay vengono venduti oggetti di World of Warcraft per 1,6 milioni di Euro ogni anno. Tra questi sono compresi oggetti online di account violati. Le password, inoltre, sono spesso utilizzate anche per altri servizi, aumentando i rischi per le vittime.
Problemi simili esistono anche per il gambling online. Anche in questo caso, i dati della carta di credito hanno un peso importante. In alcuni casi la violazione degli account avviene per imbrogliare durante le partite, fondamentalmente per rubare ai giocatori il loro denaro. Nel 2015, i criminali hanno violato alcuni account di poker online e hanno usato un malware chiamato Odlanor per “sbirciare” le carte dei giocatori. Si sono poi uniti al gioco per “vincere” facilmente la partita.
Ci sono anche problemi che riguardano il rispetto delle normative. In molti Paesi europei i regolamenti richiedono che le società di scommesse e i casinò online impediscano ai minorenni o agli indebitati di accedere e giocare. Il verificarsi di queste evenienze rappresenta un problema enorme per i gestori dei giochi, in quanto rischiano di essere chiusi dalle autorità per il mancato rispetto delle normative. Tuttavia, i meccanismi che dovrebbero impedire queste situazioni di solito sono ben lungi dall’essere perfetti. In Belgio, ad esempio, a un certo punto venivano utilizzati falsi registri di stato che permettevano di accedere a false identità per la registrazione a un sito web per il gioco d’azzardo. Quando le regole furono inasprite, si scoprirono centinaia di migliaia di registrazioni false, con un numero di account attivi di gran lunga superiore a quello dei giocatori d’azzardo online dell’intero Paese.
Un altro aspetto da considerare è che ai giochi online si accede sempre di più da dispositivi mobili: in Italia, ad esempio, la spesa generata da smartphone e tablet raggiunge i 155 milioni di Euro, con un tasso di penetrazione del mercato di quasi il 20% (dati dell’Osservatorio Gioco Online del Politecnico di Milano). Ciò comporta che la perdita o il furto di uno smartphone può compromettere completamente un account.
La necessità di un sistema sicuro di autenticazione
Per ovviare a questi problemi e garantire una protezione reale degli account, nell’interesse tanto dei giocatori quanto dei gestori dei giochi, fortunatamente già esistono contromisure efficaci. World of Warcraft, per esempio, consente agli utenti di utilizzare l’autenticazione a due fattori accanto al classico sistema di sicurezza basato sul binomio nome utente-password. In fase di accesso al servizio, i clienti che optano per questa possibilità devono fornire un codice ricevuto su un token separato, il che significa che un qualsiasi criminale dovrebbe riuscire a mettere le mani su un oggetto fisico per poter appropriarsi dell’account. Per la maggior parte dei criminali informatici, questo pone un problema pratico quasi insormontabile.
Anche i casinò online e i bookmaker sono sempre più alla ricerca di nuovi modi per gestire efficacemente gli account e le identità, il che per loro è di importanza quasi vitale. Unibet, per esempio, ha iniziato ad utilizzare un servizio di autenticazione che si basa sulla carta d’identità elettronica emessa dalle autorità del Belgio (EID). Questo permette il rigoroso controllo dell’identità di un individuo, indipendentemente da quale dispositivo questi stia usando. È uno dei modi con i quali Unibet risulta completamente conforme alle severe leggi in materia di gioco d’azzardo online, non solo ora ma anche in un futuro nel quale i regolamenti possano inasprirsi ulteriormente.
In conclusione, le società di gaming online offrono servizi nei quali vengono scambiate grandi quantità di denaro e vengono archiviati dati molto sensibili. Ciò rende di per sé questi servizi degli obiettivi allettanti per i criminali informatici. È quindi fondamentale che la gestione delle identità sia presa sul serio. La buona notizia è che un numero crescente di aziende sta diventando consapevole di questo e aggiunge forme più forti di autenticazione. Per loro, proteggere i propri clienti e la propria attività è importante come lo è per ogni altro settore online.