Une patate chaude : Faire partie des jeux les plus joués sur le marché a fait de Roblox et Fortnite des cibles de choix pour les escroqueries et les cyberattaques. Cependant, leur popularité auprès des enfants les a rendus particulièrement désirables pour les cybercriminels. Un rapport récent a révélé des liens frauduleux ciblant les joueurs Roblox et Fortnite cachés sur des dizaines de domaines .gov et .org promettant du contenu gratuit dans le jeu en échange d’informations personnelles.
Les chercheurs en sécurité de plusieurs organisations ont révélé une vaste campagne de cyberarnaque masquant des liens malveillants dans les résultats de recherche et des sites Web qui devraient être dignes de confiance. Wired note que les stratagèmes incluent des offres frauduleuses liées à de nombreux services populaires. Les plus alarmantes sont les publicités pour des récompenses Roblox et Fortnite gratuites ciblant les plus jeunes joueurs.
Les escroqueries sont conçues pour apparaître comme des résultats de recherche hautement classés lorsque les utilisateurs recherchent des éléments tels que des skins gratuits et des devises pour Fortnite, Roblox et d’autres jeux en ligne. Les faux résultats conduisent à des PDF contenant des liens qui conduisent à travers un labyrinthe de pages demandant votre nom d’utilisateur et votre système d’exploitation en échange de « générateurs » accordant des récompenses gratuites. Ils demandent également souvent aux utilisateurs de répondre à des enquêtes, de saisir des informations personnelles ou de télécharger des applications.
Certains semblent pêcher des informations sur les comptes ou extraire des numéros de publicité, tandis que d’autres mènent à des logiciels malveillants, la plupart étant écrits pour cibler les enfants. Des chercheurs de Human Security ont découvert que les fichiers PDF avaient infecté des dizaines de domaines .gov et .org. Au moins un, par exemple, appartenait au Département des services financiers de l’État de New York.
Les jeux en ligne avec des microtransactions et des bases d’utilisateurs extrêmement jeunes sont depuis longtemps la cible d’abus. L’année dernière, la société de cybersécurité Kaspersky a découvert que Minecraft, Roblox et FIFA avaient subi plus de cyberattaques que tout autre jeu. Plus de 200 000 utilisateurs ont téléchargé et installé une extension Google Chrome se présentant comme un utilitaire Roblox, mais il ne s’agissait que d’une porte dérobée habilement déguisée utilisée pour voler les informations d’identification des utilisateurs.
Les chercheurs ont lié l’escroquerie PDF malveillante à des serveurs appartenant à une société de publicité enregistrée aux États-Unis appelée CPABuild. La recherche du nom de l’entreprise fait apparaître des guides YouTube sur la façon de réaliser des bénéfices rapides en créant des pages avec les outils de CPABuild, dont beaucoup offrent du contenu ou de la monnaie dans le jeu gratuitement.
Epic Games souligne qu’il n’existe aucun moyen légitime pour les joueurs de vendre, d’échanger, de donner ou d’échanger des V-Bucks – la monnaie du jeu de Fortnite. Les développeurs de Roblox informent également les utilisateurs qu’il n’autorise pas l’échange de sa devise Robux via des canaux tiers et que toutes les pages les proposant gratuitement sont probablement des escroqueries. Les parents d’enfants qui jouent à Roblox, Fortnite ou à d’autres jeux populaires avec des microtransactions doivent les avertir de faire attention lorsqu’ils saisissent leurs informations d’identification.
