Quando gli scammer decidono di attaccare i gamer, di solito vanno a caccia dei loro account. Nel post di oggi, invece, parleremo di un obiettivo differente, ovvero l’oro posseduto dai gamer. World of Warcraft e chi ci gioca sono spesso oggetto di interesse da parte degli scammer: un giorno i gamer vengono minacciati di essere bannati per aver imbrogliato, il giorno successivo ricevono un’offerta di animali da compagnia virtuali (menomale che sono virtuali, dopotutto si tratta sempre di una truffa).
A maggio scorso, un utente con il nickname Legitmasterr ha pubblicato un post su Reddit dove descriveva una truffa piuttosto originale presente sulla Casa d’aste di World of Warcraft Classic. Il giocatore, che stava cercando di acquistare alcuni Chronoboon Displacer al prezzo di 66 gettoni d’oro, si è visto sottrarre dal proprio account la bellezza di 11 mila gettoni. È stato vittima di uno script dannoso presente nell’add-on che aveva installato. Vi spieghiamo come difendervi da truffe come queste su World of Warcraft Classic ed evitare la stessa sorte del mal capitato giocatore.
A cosa servono gli add-on su World of Warcraft?
Su World of Warcraft gli add-on sono utili, e a volte addirittura indispensabili, ad esempio per personalizzare l’interfaccia, filtrare lo spam nelle chat in-game e in tante altre situazioni. Tra i tanti add-on, ce n’è uno che si chiama WeakAuras e serve a ottenere un comodo accesso ad alcune informazioni: quanto tempo si ha a disposizione prima di un attacco importante di un boss, un avviso nel caso si è stati colpiti da una maledizione che provoca danni ai giocatori vicini, a quanto ammonta la riserva di mana dei curatori e così via.
In sostanza, WeakAuras è un framework: tutti i timer e gli indicatori vengono aggiunti all’add-on di base mediante degli script che utilizzano il linguaggio di programmazione Lua, e questi script vengono comunemente chiamati “aura”. Molti siti offrono assemblaggi di auras già pronti e adatti a classi, specializzazioni e persino professioni particolari. Tuttavia, a volte i giocatori vanno alla ricerca di qualcosa di ancora più specifico, ad esempio un’aura per una sola missione o per una tattica sperimentale. Alcuni giocatori si specializzano nella programmazione personalizzata di script esistenti o riescono anche a creare auras per conto proprio.
A volte, durante un raid con partner random, un leader a voi sconosciuto potrebbe dirvi: “Stiamo utilizzando una nuova tattica per sconfiggere questo boss, dovete installare subito questa aura” e vi manda un link. Naturalmente, spetta a voi decidere se accettare o meno ma chi non installa l’aura potrebbe essere mandato via dal raid. Peggio ancora, i leader di solito passano questi link nella chat del raid e la maggior parte dei giocatori clicca direttamente sul nome e installa gli script senza pensarci due volte.
Vale la pena di ricordare che utilizzare questi script, che vengono pubblicati nelle bacheche dei messaggi o nelle chat in-game, può essere pericoloso. Non essendoci un sistema centralizzato di convalida, possono infiltrarsi facilmente delle auras contenenti sorprese dannose e, a meno che conosciate il linguaggio di programmazione Lua, non potete analizzare il codice. Inoltre, un’aura ingannevole potrebbe comportarsi come uno script legittimo per poi trasformarsi in qualcosa di dannoso in certe condizioni. Gli scammer approfittano di questo meccanismo su Azeroth.
Un’asta ingegnosa
Lo script dannoso rimane in attesa e si comporta normalmente fino a quando il giocatore che lo ha installato acquista certi prodotti di consumo (elisir o erbe, ad esempio) nella Casa d’aste. Nel momento in cui il giocatore selezione l’articolo desiderato, lo script reindirizza la ricerca verso un prodotto identico che gli scammer vendono al prezzo di 10 mila gettoni. Allo stesso tempo, lo script sostituisce il messaggio di conferma d’acquisto inviato dal sistema con un altro messaggio falso che mostra il prezzo originale dell’articolo, ad esempio 5 gettoni. E così, sebbene il giocatore abbia fatto e confermato un acquisto di poco conto, in realtà riceverà un addebito di 10 mila gettoni sul proprio account.
Il truffatore può spendere l’oro guadagnato all’interno del gioco, anche se solitamente puntano allo scambio per ottenere denaro reale. Per questo motivo il servizio di assistenza di Blizzard sconsiglia fortemente ai giocatori di acquistare oro a tassi ridotti su siti di terze parti.
Perché funziona la truffa della Casa d’aste
World of Warcraft, si sa, non tollera in alcun modo la presenza di truffatori. L’accordo di licenza di Blizzard vieta le modifiche al codice sorgente del gioco, l’utilizzo di strumenti che possano offrire un vantaggio sugli altri giocatori e qualsiasi altro tipo di interferenza. Allora, come mai questa truffa della casa d’aste è passata inosservata?
Gli script hanno conseguenze sull’interfaccia solo mediante gli strumenti di WeakAuras, il che è concesso. Per quanto riguarda il sistema, se i giocatori accettano di pagare decine di migliaia di gettoni d’oro per degli articoli di poco conto, è una loro decisione. E soprattutto, la maggior parte dei giocatori non riesce a capire subito quale tra i tanti add-on abbia portato a una perdita di denaro così ingente. E questo fa sì che i cybercriminali abbiano tempo per raggirare tanti altri utenti prima di essere scoperti.
Come non cadere nella trappola e cosa fare se vi hanno derubato
Gli scammer giustamente sanno che i giocatori ci mettono un po’ di tempo prima di rendersi conto di essere stati raggirati nella Casa d’aste controllata da Blizzard, oppure che all’origine del problema ci sia uno script che non ha mai creato problemi fino a quel momento. Invece di fare affidamento sul gioco, siate proattivi e cercate di proteggervi.
Aggiornate l’add-on WeakAuras
Durante il dibattito su Reddit, un esperto ha analizzato gli add-on e gli script installati dalla vittima, ha trovato lo script dannoso e ha informato gli sviluppatori di WeakAuras. Gli sviluppatori hanno risolto il problema, per cui anche se avete installato lo script dannoso, l’aggiornamento di WeakAuras all’ultima versione dovrebbe eliminarlo automaticamente.
Questa soluzione, però, molto probabilmente non funzionerà per le auras dannose non ancora conosciute. Per proteggere WeakAuras de script pericolosi, gli sviluppatori dovrebbero implementare un motore antivirus di base, analizzare regolarmente le auras esistenti e aggiungere al database le auras dannose individuate. Un bel po’ di lavoro, insomma.
In ogni caso, se vi è possibile, aggiornate subito WeakAuras.
Verificate attentamente le transazioni e le offerte di scambio
Questo consiglio in particolare non sarebbe stato di grande aiuto nella truffa che abbiamo appena descritto, ma in generale è piuttosto valido. Gli scammer possono provare a ingannarvi senza utilizzare add-on dannosi, ad esempio sostituendo un articolo di valore con uno molto più economico subito dopo aver digitato l’importo da pagare, oppure togliendo in tutta fretta un paio di zeri dal loro pagamento durante un acquisto. Per questo motivo, prima di confermare una transazione, vi consigliamo di dedicare un paio di secondi in più per verificare attentamente l’articolo e la somma. La nostra guida per delle transazioni di gioco sicure potrebbe esservi molto utile.
Chiedete aiuto se vi hanno raggirato
Se avete vissuto una situazione simile a quella descritta in questo post, fate girare la notizia. Mettetevi in contatto con l’assistenza e create un thread di messaggi sull’argomento, allegando screenshot e un elenco dei vostri add-on per ogni caso. Moderatori e giocatori con esperienza sicuramente sapranno consigliarvi, vi aiuteranno a prendere decisioni e persino a trovare un modo per punire gli scammer. Cercando aiuto, metterete in guardia gli altri giocatori e potreste anche riavere indietro i vostri gettoni d’oro, così come è successo a Legitmasterr.
Proteggete il vostro account
Installare una soluzione di sicurezza affidabile è fondamentale. Anche se probabilmente non potrà individuare uno script dannoso per un add-on di WoW, vi proteggerà dalla maggior parte dei programmi e siti dannosi o pericolosi.