Hackers usam URLs, JavaScript e formulários de API para enganar usuários no jogo online “Roblox”

Developer No-code
Imagem: Freepik

O Roblox é uma plataforma de jogos composta por “Experiências” – nome dado para os mundos 3D criados por usuários – onde os jogadores podem interagir uns com os outros e com o ambiente. O criador, que pode ser qualquer usuário, constrói os cenários, a lógica do jogo, os itens e a interatividade geral da experiência.

O Roblox é gratuito para jogar, mas contém uma moeda no aplicativo chamada “Robux” que pode ser usada para comprar roupas, armas ou outros itens para o avatar de um usuário, alguns dos quais existem em quantidades limitadas e podem valer dezenas de milhares de dólares. Os itens também podem ser trocados por outros itens ou Robux usando um sistema de negociação integrado. Isto cria um mercado potencialmente lucrativo e, embora a negociação com dinheiro real seja proibida pelos termos de serviço, alguns utilizadores negociam fora da plataforma e com dinheiro real.

Onde há potencial de lucro, também há pessoas tentando enganar outras pessoas. Os usuários de “Roblox” podem ser alvo de golpistas (conhecidos como “beamers” pelos jogadores de “Roblox”) que tentam roubar itens valiosos ou Robux de outros jogadores. Às vezes, isso pode ser facilitado para os golpistas por causa da base de usuários jovens do “Roblox”. Quase metade dos 65 milhões de usuários do jogo têm menos de 13 anos e podem não ser tão hábeis em detectar golpes.

Cisco Talos, grupo de inteligência de segurança da Cisco, definiu as principais formas de atuação dos hackers na plataforma e dá algumas dicas de como evitar ser vítima de algum golpe.

Como identificar fraudes

De acordo com a Cisco Talos, grupo de inteligência em segurança da Cisco, ter conhecimento dos golpes comuns e de como eles funcionam é fundamental para identificá-los, mesmo que você nunca tenha ouvido falar de uma tática específica antes. A seguir estão alguns dos golpes mais comuns visando usuários “Roblox”.

Oferecendo Robux grátis/phishing

O golpista envia uma mensagem usando o bate-papo do jogo “Roblox” ou outro aplicativo de mensagens para a vítima, oferecendo uma maneira de ganhar Robux grátis. Na variação mais comum desse golpe, o usuário recebe um link para uma página da web contendo temas ou imagens relacionadas ao “Roblox”. O site oferece Robux gratuito à vítima e pede que ela insira seu nome de usuário e senha para que possa receber o Robux em sua conta. Após inserir seu nome de usuário e senha, em vez de receber o Robux, o golpista entra na conta da vítima e rouba todos os Robux e itens valiosos.

Phishing integrado

No Roblox, qualquer usuário pode criar experiências, inclusive golpistas. Nesse caso, o golpista cria uma experiência maliciosa que promete entregar Robux grátis e solicita que a vítima preencha um formulário com seu nome de usuário e senha. As credenciais da vítima são enviadas para um servidor controlado pelo invasor, permitindo que faça login na conta do usuário e roube todos os Robux e itens valiosos.

Método JavaScript

O golpista pede às vítimas que copiem e colem um link contendo código JavaScript na barra de endereço do navegador. Existem muitas variações que usam esse método. Em uma variação comum, o golpista finge estar desenvolvendo uma experiência e pede ao usuário para usar sua imagem de avatar na experiência. Para receber os detalhes do avatar automaticamente, o golpista pede que a vítima copie e cole o link que contém o código JavaScript na barra de endereços do navegador. Esse código então rouba o ID de sessão da vítima, permitindo que o golpista use a plataforma para fazer login na conta da vítima e transferir todos os itens e Robux da conta da vítima para a conta do golpista.

Método de marcador

Outra forma de atuação dos golpistas, de acordo com a Cisco Talos, é o método bookmark – uma variante do método JavaScript. Em vez de pedir à vítima para colar um link na barra de endereço, a vítima é solicitada a arrastar e soltar o favorito na barra de favoritos e clicar nele. O marcador contém código JavaScript que rouba o ID de sessão da vítima.

Método API

O golpista propõe uma negociação que geralmente é boa demais para ser verdadeira. Em seguida, o invasor afirma que antes de prosseguir com a negociação gostaria de verificar se os itens da vítima não foram roubados. Para isso, a vítima deve visitar uma página especial do Roblox e inserir um ID. Eles então oferecem à vítima o URL de uma página que na verdade faz parte do domínio Roblox.

Esta página faz parte da documentação da API Roblox e é usada pelos desenvolvedores para testar a API. Ao conversar com a vítima, o golpista cria uma solicitação de troca que, se aceita, transferiria todos os itens da vítima para o golpista. O golpista então envia esse ID para a vítima e a instrui a inserir o ID no formulário e clicar em “Experimentar”. Isso fará com que o usuário aceite uma troca com o ID especificado e transfira todos os seus itens e Robux para o golpista.

Método de arquivo HAR

O golpista se oferece para criar um GFX gratuito (uma versão realista em 3D do avatar da vítima) sob o pretexto de que eles estão aprendendo a fazer isso e poderiam usar a prática. Se a vítima aceitar, o golpista diz que precisa de um arquivo para concluir o desenvolvimento e entrega à vítima um tutorial ou vídeo explicando como obter o arquivo. O tutorial solicita que a vítima abra as ferramentas de desenvolvedor do navegador e salve a solicitação de rede como um arquivo HAR.

Depois de salvo, a vítima é orientada a enviá-lo ao golpista. Este arquivo contém o ID da sessão da vítima, o que permite ao golpista usar a plataforma logada na conta da vítima e roubar todos os itens e Robux.

Troca Dupla

O golpista aborda a vítima propondo duas negociações. Uma negociação é boa para o golpista e outra é boa para a vítima. A vítima sai com uma clara vantagem desta negociação. O golpista impõe a condição de que a vítima aceite ambas as negociações ou rejeite ambas as negociações. Porém, enquanto conversam, o golpista remove alguns Robux de sua conta, fazendo com que a troca que favorece a vítima falhe por falta de Robux na conta do invasor. Quando a vítima aceita ambas as negociações, apenas a má negociação é concretizada, tornando-se um mau negócio para a vítima.

Instalação de malware 

Este método é tão simples quanto solicitar à vítima que instale algum software ou extensão do navegador como forma de receber Robux gratuitamente ou para ajudar o golpista a realizar algum desenvolvimento que seja do interesse da vítima. O software instalado é um malware, projetado para roubar o ID de sessão da vítima, o que permite ao golpista usar a plataforma logada na conta da vítima e roubar todos os itens e Robux.

Como evitar ser enganado

Conhecer os golpes comuns é um passo importante para usar a plataforma com segurança. As recomendações a seguir da Cisco Talos ajudam os jogadores a não caírem em golpes:

  • Se parece bom demais para ser verdade, é: esta é provavelmente a recomendação mais importante. Se um estranho ou um site afirma oferecer moeda ou itens grátis, é quase certo que é uma farsa;
  • Não abra links nem baixe arquivos enviados por fontes desconhecidas: esses links podem ser iscas de phishing ou de entrega de malware. Se você não conhece o outro jogador, geralmente é uma boa ideia não abrir o link;
  • Desconfie de solicitações para realizar ações incomuns: alguns golpes dependem da execução de ações mais ou menos técnicas pelo usuário. Estes são bons indicadores de que pode ser uma fraude. Por exemplo:
    • Copiar e colar na barra de endereço do navegador.
    • Criar e clicar em favoritos.
    • Abrir ferramentas de desenvolvedor do navegador.
  • Desconfie de negociações incomuns: Ao negociar, preste atenção a alguns sinais de alerta, como:
    • Negociações realizadas fora da plataforma.
    • Negociações em que o trader cria regras incomuns, como negociações duplas.
    • Solicitações para realizar ações no navegador durante uma negociação comercial, como usar o formulário API.
  • Use os recursos de segurança integrados da plataforma: Roblox leva a segurança a sério e fornece guias de segurança e vários recursos para aumentar a segurança. Por exemplo:
    • Habilite a autenticação multifator.
    • Configure a privacidade da conta.
    • Configure quem, se houver, pode negociar com o jogador.
    • Configure o filtro de qualidade comercial para ajudar a evitar negociações suspeitas.
    • Ative um PIN obrigatório para alterar as configurações.

*Fonte: blog da Cisco Talos (em inglês).


Leia também
Cibersegurança em IoT: alerta sobre riscos de ataques cibernéticos e recomendações para garantir a proteção de dispositivos conectados
Cibersegurança em IoT: alerta sobre riscos de ataques cibernéticos e recomendações para garantir a proteção de dispositivos conectados

Líder do Comitê de Segurança da ABINC afirma que a baixa conscientização em segurança do mercado IoT é um dos […]

Empresas precisam investir na proteção cibernética das Tecnologias Operacionais (OT)
Empresas precisam investir na proteção cibernética das Tecnologias Operacionais (OT)

Em conversa com Eduardo Lopes, CEO da Redbelt Security e Matheus Borges, CCO da Redbelt Security, dois especialistas compartilharam suas […]

Mercado financeiro: protegendo ativos na era digital
Mercado financeiro: protegendo ativos na era digital

O mercado financeiro é reconhecidamente um dos que mais investe em inovações para digitalizar suas operações e os serviços oferecidos […]

Dia Internacional da Internet Segura: 6 dicas para se proteger online
Dia Internacional da Internet Segura: 6 dicas para se proteger online

Hoje, dia 6 de fevereiro, celebramos o Dia Internacional da Internet Segura, uma iniciativa da Redes INSAFE-INHOPE e da Comissão […]

Cuidados cibernéticos no carnaval: como se proteger dos golpes virtuais durante a folia
Cuidados cibernéticos no carnaval: como se proteger dos golpes virtuais durante a folia

Durante o carnaval, período conhecido por festas e descontração, os brasileiros ficam mais suscetíveis a ciberataques, conforme indicado por uma […]