{"id":23675,"date":"2020-08-20T15:12:52","date_gmt":"2020-08-20T13:12:52","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=23675"},"modified":"2020-08-20T15:47:56","modified_gmt":"2020-08-20T13:47:56","slug":"wow-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/wow-phishing\/23675\/","title":{"rendered":"C\u00f3mo atacan los ciberdelincuentes a los jugadores de WoW"},"content":{"rendered":"

Las cuentas en Battle.net resultan muy valiosas para los atacantes, ya que pueden utilizarlas para obtener acceso a los juegos comprados, as\u00ed como a los personajes, los art\u00edculos y el dinero de los juegos. No obstante, si un jugador ha configurado correctamente su cuenta, podr\u00e1 recuperar el control y restaurar la cantidad virtual robada con ayuda de la asistencia t\u00e9cnica.<\/p>\n

Sin embargo, los atacantes todav\u00eda pueden causar muchos inconvenientes, as\u00ed que es mejor actuar ahora y evitar el ataque. Con este fin, te contar\u00e9 lo que aprend\u00ed cuando intentaron hackear<\/em> mi cuenta de Battle.net mediante phishing<\/em> dentro del propio World of Warcraft Classic (WoW)<\/em>.<\/p>\n

La estrategia de robo de la cuenta \u201cBizzard\u201d<\/h2>\n

El phishing<\/em> ya era un problema bastante com\u00fan en la versi\u00f3n original de WoW. Sin embargo, no tuve problemas con eso en el recientemente lanzado World of Warcraft Classic<\/em>; al menos hasta que un guerrero llamado \u201cBizzard\u201d me envi\u00f3 un mensaje: \u201c[Blizzard Entertainment] GM: Violaci\u00f3n: exploit<\/em> econ\u00f3mico. Por favor, visita: [www.blizzardwarcraft.com]. Si no, suspenderemos tu cuenta.\u201d<\/p>\n

\"\"

Mensaje de phishing dentro del propio World of Warcraft Classic<\/p><\/div>\n

Me quedo corto si digo que hab\u00eda algo sospechoso en este mensaje. Para empezar, es dif\u00edcil creer que un verdadero administrador de Blizzard Entertainment responda a dichas violaciones como \u201cexploits<\/em> econ\u00f3micos\u201d mediante el nombre de un personaje que fuera similar pero no id\u00e9ntico al nombre de la empresa e informara a un jugador de que tiene que visitar un sitio particular. Adem\u00e1s, y para que conste, no comet\u00ed ninguna violaci\u00f3n en absoluto.<\/p>\n

Generalmente ignoro este tipo de mensajes, pero esta vez sent\u00ed curiosidad y decid\u00ed investigar sobre el funcionamiento de esta estrategia en espec\u00edfico. Primero, verifiqu\u00e9 el enlace mediante los servicios Whois y comprob\u00e9 que el dominio no era uno de los pertenecientes a Blizzard (como blizzard.com, battle.net o worldofwarcraft.com). Asimismo, la falta de cualquier tipo de certificado de seguridad cuestionaba la legitimidad del sitio.<\/p>\n

Como sospechaba, el dominio blizzardwarcraft.com que el todopoderoso Bizzard quer\u00eda que visitara llevaba registrado menos de una semana. Adem\u00e1s, los atacantes ni siquiera se esforzaron por cubrir sus huellas: el dominio hab\u00eda sido registrado por alguien de la provincia china de Anhui, en concreto desde la oficina de registro de Hong Kong llamada Hong Kong Domain Name Information Management Co., Ltd.<\/p>\n

\"\"

Comparaci\u00f3n del sitio web falso de Blizzard con el leg\u00edtimo<\/p><\/div>\n

Sin embargo, el sitio de phishing<\/em> parece convincente. Su apariencia es bastante similar a la p\u00e1gina de inicio de sesi\u00f3n eu.battle.net, pero la etiqueta de verificaci\u00f3n de seguridad, que tiene un formato de fuente y color incorrecto, se carga la est\u00e9tica. Adem\u00e1s, las opciones de inicio de sesi\u00f3n con Facebook y Google no funcionan, como habr\u00e1s podido imaginar. Sin embargo, casi todos los dem\u00e1s enlaces de la p\u00e1gina fraudulenta llevan a sitios reales de Blizzard, eso s\u00ed, la nacionalidad no coincide: algunos son europeos, otros estadounidenses.<\/p>\n

Decid\u00ed continuar mi investigaci\u00f3n para ver exactamente c\u00f3mo proceder\u00eda el atacante con el secuestro de mi cuenta. Directamente en la p\u00e1gina falsa, hice clic en \u201cCrear una cuenta gratuita en Blizzard\u201d (lo que estaba bien, ya que el enlace dirig\u00eda al sitio verdadero de Blizzard) y me registr\u00e9 para obtener una nueva cuenta. Ya preparado para este experimento, proced\u00ed a entregar mi cuenta reci\u00e9n creada y mi contrase\u00f1a a los atacantes.<\/p>\n

Despu\u00e9s de introducir mis credenciales en la p\u00e1gina falsa, los creadores del sitio me pidieron que los ayudara a proteger mi cuenta nueva mediante una verificaci\u00f3n r\u00e1pida. Claro que, para ello, tuve que introducir un c\u00f3digo de verificaci\u00f3n enviado por correo electr\u00f3nico. Este c\u00f3digo proven\u00eda de la direcci\u00f3n verdadera de Blizzard.<\/p>\n

Como ya hab\u00eda previsto, nada m\u00e1s introducir mis credenciales en la p\u00e1gina falsa, los atacantes las introdujeron en el sitio real. Pero tambi\u00e9n necesitaban un c\u00f3digo de verificaci\u00f3n. Blizzard envi\u00f3 el c\u00f3digo a mi correo, pero los atacantes necesitaban que se lo entregara yo. Por supuesto, les segu\u00ed la corriente e introduje el c\u00f3digo en la p\u00e1gina falsa.<\/p>\n

Adem\u00e1s, por alguna raz\u00f3n, pidieron que contestara una pregunta secreta en la p\u00e1gina final. La verdad es que, cuando me registr\u00e9, no configur\u00e9 ninguna pregunta secreta. Pero, no hay de qu\u00e9 preocuparse, aun as\u00ed, yo estaba listo para darles una respuesta.<\/p>\n

\"\"

La \u201cverificaci\u00f3n de seguridad\u201d en el sitio falso de Blizzard<\/p><\/div>\n

Entonces me notificaron que hab\u00eda pasado con \u00e9xito la verificaci\u00f3n. Como podr\u00e1s esperar, al mismo tiempo alguien entraba a mi nueva cuenta (la direcci\u00f3n IP se\u00f1alaba la ciudad alemana de Brandemburgo, pero es improbable que el atacante se haya conectado realmente desde all\u00ed; probablemente usaban un servidor proxy, una VPN u otros medios para enmascarar virtualmente su ubicaci\u00f3n verdadera).<\/p>\n

Primero iniciaron sesi\u00f3n mediante Battle.net y despu\u00e9s a trav\u00e9s de la interfaz web. Me imagino que esto se debe a que no encontraron ning\u00fan personaje de World of Warcraft<\/em> en mi cuenta de Battle.net y decidieron verificar por segunda vez mediante la versi\u00f3n web.<\/p>\n

\"\"

En el sitio web real de Blizzard puedes comprobar la actividad reciente de inicio de sesi\u00f3n<\/p><\/div>\n

Despu\u00e9s de casi dos horas y media, Blizzard me envi\u00f3 una notificaci\u00f3n de que mi contrase\u00f1a hab\u00eda sido restablecida debido a actividad sospechosa. Al parecer, las defensas internas de Battle.net determinaron que alguien m\u00e1s hab\u00eda tenido acceso a mi cuenta y reaccionaron de inmediato para protegerme contra los intrusos. Como puedes ver, Blizzard hace un buen trabajo para mantener seguros a sus usuarios.<\/p>\n

C\u00f3mo no caer en la trampa de los ataques de phishing<\/em> en World of Warcraft<\/h2>\n

Es improbable que el ataque que sufr\u00ed sea el \u00faltimo intento de phishing<\/em> en World of Warcraft Classic<\/em>. Para reducir al m\u00ednimo el da\u00f1o proveniente de las acciones de los intrusos, as\u00ed como para hacer m\u00e1s seguro el juego y no s\u00f3lo para ti sino tambi\u00e9n para los dem\u00e1s, debes tener en cuenta que:<\/p>\n