I giochi play-to-earn, una delle più grandi rivoluzioni del Web3, attraggono sempre di più gli hacker, che tentano di rubare fondi attaccando gli smart contract.
Summary
Hacker e Web3 gaming: punti di forza e vulnerabilità
Il cosiddetto Web3 sta rivoluzionando il mondo dei videogiochi, in particolare grazie al cosiddetto play-to-earn che consente ai gamer di guadagnare NTF e criptovalute collegando il loro wallet virtuale alla piattaforma su cui giocano.
La possibilità di guadagnare giocando attrae sempre più utenti ed aziende, con un giro d’affari salito a 2.2 miliardi di euro.
Questo, però, attira anche l’attenzione degli hacker, che stanno trovando nuovi modi per attaccare questi giochi nel tentativo di sottrarre fondi ai giocatori. Ben noto è ad esempio l’attacco che ha sottratto oltre 600 milioni di dollari al videogioco Axie Infinity in criptovalute e stablecoin.
Ermes – Intelligent Web Protection ha condotto a tal proposito una ricerca per monitorare questo fenomeno. Si tratta, infatti, di un’impresa italiana selezionata da Gartner nella top 100 delle realtà mondiali che sfruttano l’intelligenza artificiale per la cybersecurity.
Il fatto è che nei videogiochi Web3 gli utenti possono operare in un ambiente non controllato da un’autorità centrale. Secondo Ermes, questo espone i più giovani a contenuti poco consoni e cela il rischio di truffe, manipolazione di dati e clonazione di identità.
Le 5 cyber minacce individuate dalla ricerca di Ermes
Il cryptojacking
La prima in realtà è un attacco in circolazione già da diversi anni. Si tratta del cosiddetto cryptojacking, ovvero un attacco che mira ad installare sui dispositivi degli utenti software che consentono di utilizzare la loro potenza di calcolo per minare criptovalute.
Si tratta di un attacco progettato per rimanere completamente nascosto alle vittime, tanto che spesso l’unica cosa di cui si accorgono è un significativo rallentamento del funzionamento del dispositivo.
È un attacco che di fatto sottrae all’utente risorse come l’energia elettrica e la potenza di calcolo per far guadagnare l’hacker grazie al mining.
La truffa del social engineering
La seconda ormai è un classico online, ovvero il cosiddetto social engineering. Si tratta di tecniche principalmente psicologiche che sfruttano alcune note debolezze umane per farsi concedere, in modo consapevole o inconsapevole, dall’utente stesso l’accesso ad informazioni personali o sistemi protetti.
Si basa a tutti gli effetti sulla manipolazione delle vittime, solitamente grazie ad un pretesto o ad un falso motivo che di solito coinvolge dati reali delle vittime, come ad esempio data di nascita, codice fiscale, eccetera.
L’obiettivo è quello di acquisire informazioni o per la loro rivendita nel dark web, oppure più spesso per avere accesso a sistemi e piattaforme su cui effettuare altri furti di fondi o informazioni.
Il famoso ransomware
La terza è diventata fin troppo nota ultimamente, ovvero il ransomware. Banalmente si tratta di un virus che prende il controllo del dispositivo dell’utente ed esegue la crittografia dei dati in esso salvati. In questo modo l’utente perde l’accesso al suo dispositivo, e l’hacker chiede poi un riscatto per restituirglielo.
Va tuttavia detto che in genere il bersaglio preferito dei ransomware sono le grandi aziende, a cui vengono chieste ingenti somme di denaro come riscatto.
La minaccia degli adware
Una minaccia che invece spesso viene sottovalutata è quella degli adware, ovvero virus apparentemente innocui che una volta installati sui dispositivi degli utenti si limitano a mostrargli degli annunci pubblicitari. Gli adware vengono scaricati in modo involontario e inconsapevole dagli utenti, ed in genere sono programmati anche per raccogliere informazioni sulle operazioni effettuate dall’utente sul suo dispositivo.
Non solo gli fanno visualizzare messaggi pubblicitari non richiesti, ma inviano all’hacker le informazioni raccolte direttamente sul dispositivo dell’utente.
Una complessa tecnica di phishing
La quinta minaccia è relativamente nuova, e consiste in una tecnica di phishing molto difficile da rilevare. È chiamata browser-in-the-browser, e consente agli attaccanti di sovrapporre alle normali pagine web di servizi legittimi delle finte schermate di login che servono solamente all’hacker per farsi dare in modo inconsapevole dall’utente stesso le sue credenziali di accesso.
Qualora in questo modo si facessero dare ad esempio il seed di un wallet crypto, potrebbero poi utilizzarlo per sottrarre all’utente tutti i fondi in esso custoditi.
A proposito di questi risultati, il CEO e co-fondatore di Ermes, Lorenzo Asuni, ha dichiarato:
“L’intelligenza artificiale giocherà un ruolo dominante nell’evoluzione del Web3. Una delle chiavi del potenziale successo del gaming 3.0, infatti, è la promessa di esperienze altamente immersive anche per le persone con disabilità: non parliamo più di semplici videogiochi, ma di esperienze sempre più immersive in grado di abbattere i confini tra mondo offline e mondo online e di creare un’unica realtà. Il nostro team di Ricerca & Sviluppo sarà concentrato sull’ideazione di nuove tecnologie di sicurezza destinate a proteggere le persone in una nuova esperienza: crediamo che ognuno abbia il diritto di poter navigare al sicuro, anche nel gaming 3.0″.
