{"id":19925,"date":"2020-08-19T14:25:51","date_gmt":"2020-08-19T20:25:51","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=19925"},"modified":"2020-08-19T14:25:51","modified_gmt":"2020-08-19T20:25:51","slug":"wow-phishing","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/wow-phishing\/19925\/","title":{"rendered":"C\u00f3mo los cibercriminales atacan a los jugadores de WoW"},"content":{"rendered":"

Las cuentas en Battle.net resultan valiosas para los atacantes. Pueden utilizarlas para obtener acceso a los juegos comprados, as\u00ed como a los personajes, art\u00edculos y tipo de cambio dentro del juego. No obstante, si un jugador ha configurado correctamente su cuenta, entonces tras ponerse en contacto con soporte t\u00e9cnico, \u00e9ste probablemente les ayudar\u00e1 a recuperar el control y a restaurar el monto virtual robado.<\/p>\n

Sin embargo, los atacantes pueden todav\u00eda causarte muchos inconvenientes, as\u00ed que es mejor actuar ahora para evitar de sufrir un hackeo<\/em> posteriormente. Con el fin de evitar esta situaci\u00f3n desagradable, te dir\u00e9 lo que aprend\u00ed cuando intentaron hackear<\/em> mi cuenta de Battle.net mediante phishing<\/em> interno en World of Warcraft Classic <\/em>(WoW).<\/p>\n

\u00a0<\/p>\n

El esquema de robo de cuenta \u201cBizzard\u201d<\/h2>\n

El phishing<\/em> era un problema bastante com\u00fan en la versi\u00f3n original de WoW. Sin embargo, no tuve problemas con eso en el recientemente lanzado World of Warcraft Classic<\/em>; al menos no hasta que un guerrero llamado \u201cBizzard\u201d me envi\u00f3 un mensaje: \u201c[Blizzard Entertainment] GM: Violaci\u00f3n: exploit<\/em> econ\u00f3mico. Por favor, visita: [www.blizzardwarcraft.com]. Si no, suspenderemos tu cuenta. \u201d<\/p>\n

\u00a0<\/p>\n

\"Mensaje

Mensaje de phishing interno en World of Warcraft Classic.<\/p><\/div>\n

\u00a0<\/p>\n

Se queda corto si digo que hab\u00eda algo sospechoso en este mensaje. Para empezar, es dif\u00edcil creer que un verdadero administrador de juego en Blizzard Entertainment responda a dichas violaciones como \u201cexploits<\/em> econ\u00f3micos\u201d mediante el nombre de un personaje que fuera similar pero no id\u00e9ntico al nombre de la empresa e informara a un jugador que tiene que visitar un sitio particular. Adem\u00e1s, y para que conste, no comet\u00ed ninguna violaci\u00f3n en absoluto.<\/p>\n

Generalmente ignoro esos mensajes, pero esta vez sent\u00ed curiosidad y decid\u00ed investigar c\u00f3mo funciona este esquema espec\u00edfico. Primero, verifiqu\u00e9 el enlace mediante los servicios whois y establec\u00ed que el dominio no era uno de los pertenecientes a Blizzard (como blizzard.com, battle.net o worldofwarcraft.com). Asimismo, la falta de cualquier tipo certificado de seguridad cuestionaba la legitimidad del sitio.<\/p>\n

Como sospech\u00e9, el dominio blizzardwarcraft.com que el poderoso Bizzard quer\u00eda que visitara contaba con menos de una semana de registro. Adem\u00e1s, los atacantes ni siquiera se esforzaron por cubrir sus huellas: el dominio estaba registrado por alguien de la provincia china de Anhui mediante la oficina de registro de Hong Kong llamada Hong Kong Domain Name Information Management Co., Ltd.<\/p>\n

\"Comparaci\u00f3n

Comparaci\u00f3n de un sitio web falso de Blizzard con el leg\u00edtimo.<\/p><\/div>\n

\u00a0<\/p>\n

Sin embargo, el sitio de phishing<\/em> luce convincente. Su apariencia es bastante similar a la p\u00e1gina de inicio de sesi\u00f3n eu.battle.net. La etiqueta verificaci\u00f3n de seguridad (Security Check), que tiene un formato de fuente y color incorrecto, arruina un poco la apariencia. Y las opciones de inicio de sesi\u00f3n con Facebook y Google no funcionan, como habr\u00e1s podido imaginar. Sin embargo, casi todos los otros enlaces en su p\u00e1gina fraudulenta llevan a sitios reales de Blizzard. Dicho esto, su nacionalidad no es dispareja: algunos son europeos, otros estadounidenses.<\/p>\n

Decid\u00ed continuar mi investigaci\u00f3n para ver exactamente c\u00f3mo el atacante proceder\u00eda con el secuestro de mi cuenta. Directamente en la p\u00e1gina falsa, hice clic en \u201cCrear una cuenta gratuita en Blizzard\u201d (lo cual estaba bien, pues el enlace dirig\u00eda al sitio verdadero de Blizzard) y me registr\u00e9 para obtener una nueva cuenta. Ya preparado para este experimento, proced\u00ed a entregar mi cuenta reci\u00e9n creada y mi contrase\u00f1a a los atacantes.<\/p>\n

Despu\u00e9s de ingresar mis credenciales en la p\u00e1gina falsa, los creadores del sitio me pidieron que los ayudara a asegurar mi cuenta nueva mediante una verificaci\u00f3n r\u00e1pida. Claro que para hacer esto, tuve que ingresar un c\u00f3digo de verificaci\u00f3n enviado por correo electr\u00f3nico. Este c\u00f3digo proven\u00eda del sitio verdadero de Blizzard.<\/p>\n

Hab\u00eda previsto este paso y no bien ingres\u00e9 mis credenciales en la p\u00e1gina falsa, los atacantes de inmediato las ingresaron en el sitio real. Pero tambi\u00e9n necesitaban ingresar un c\u00f3digo de verificaci\u00f3n. Blizzard envi\u00f3 el c\u00f3digo a mi correo, pero los atacantes necesitaban obtenerlo de m\u00ed. Por supuesto, les segu\u00ed la corriente e introduje el c\u00f3digo en la p\u00e1gina falsa.<\/p>\n

Adem\u00e1s, por alguna raz\u00f3n, pidieron que contestara una pregunta secreta en la p\u00e1gina final. La verdad es que, cuando me registr\u00e9, no configur\u00e9 ninguna pregunta secreta. Nada de qu\u00e9 preocuparse, sin embargo: estaba listo para darles una respuesta.<\/p>\n

La \"verificaci\u00f3n de seguridad\" (Security check) en el sitio falso de Blizzard

La \u201cverificaci\u00f3n de seguridad\u201d (Security check) en el sitio falso de Blizzard.<\/p><\/div>\n

\u00a0<\/p>\n

Entonces me notificaron que hab\u00eda aprobado satisfactoriamente la verificaci\u00f3n. Como podr\u00eda esperar, al mismo tiempo alguien m\u00e1s entr\u00f3 a mi nueva cuenta (la direcci\u00f3n IP se\u00f1alaba la ciudad alemana de Brandemburgo, pero es improbable que el atacante se haya conectado realmente desde all\u00ed; probablemente usaban un servidor proxy, una VPN u otros medios para enmascarar virtualmente su ubicaci\u00f3n verdadera).<\/p>\n

Primero alguien ingres\u00f3 mediante Battle.net, y despu\u00e9s a trav\u00e9s de la interfaz web. Asumo que esto sucedi\u00f3 porque los hackers<\/em> no encontraron ning\u00fan personaje de World of Warcraft<\/em> en mi cuenta de Battle.net y decidieron verificar por segunda vez mediante la versi\u00f3n web.<\/p>\n

\"En

En el sitio web real de Blizzard se muestran la actividad reciente de inicio de sesi\u00f3n.<\/p><\/div>\n

\u00a0<\/p>\n

Despu\u00e9s de casi dos y media horas, Blizzard me envi\u00f3 una notificaci\u00f3n de que mi contrase\u00f1a hab\u00eda sido restablecida debido a actividad sospechosa. Al parecer, las defensas internas de Battle.net determinaron que alguien m\u00e1s hab\u00eda tenido acceso a mi cuenta y reaccionaron de inmediato para protegerme contra los intrusos. Como puedes ver, Blizzard hace un buen trabajo al mantener seguros a sus usuarios.<\/p>\n

\u00a0<\/p>\n

C\u00f3mo evitar ser v\u00edctima de los ataques de phishing<\/em> en World of Warcraft<\/em><\/h2>\n

Es improbable que el ataque que sufr\u00ed sea el \u00faltimo intento de phishing<\/em> en World of Warcraft Classic<\/em>. Para reducir al m\u00ednimo el da\u00f1o proveniente de las acciones de los intrusos, as\u00ed como para hacer m\u00e1s seguro el juego y no s\u00f3lo para ti sino tambi\u00e9n para los dem\u00e1s, aqu\u00ed te decimos algunas cosas a considerar:<\/p>\n