国际足联球员畅销游戏标题22已经成为的目标波的攻击关注账户妥协。50“高调”账户是被什么可能是同一组。

国际足联游戏,传统上,一个大骗子和钓鱼者。许多体育标题提供游戏数码产品和福利,用现金支付。有时你购买特定的商品通过购买小额交易。其他时候,它可能是一种碰运气的事,你把钱花在盒子含有随机项。他们可以毫无价值,或非常有价值,你不知道你会收到,直到你买所谓lootboxes。游戏就像国际足联频繁为它画的愤怒,球员买很多lootboxes流行网络钓鱼者的目标。无论你有球员投资大笔的钱,你会发现鲨鱼在水里盘旋。

有人决定让一个大水花这个特殊的攻击。这不应该是一个隐形妥协和被盗和掠夺账户的缓慢燃烧,袭击者接管一些大名鼎鼎的国际足联的游戏空间和六个耀斑发射枪在同一时间。哔哔声电脑指出,目标包括实际的球员,外汇交易员,飘带。有人要注意,他们的保证。

设置场景

这个问题很明显,EA发表了声明在攻击。第一个的入口点可能认为会钓鱼游戏玩家用假的登录和偷他们的账户。这是额外的安全措施等2足总进来。如果攻击者获得登录细节通过虚假网站,他们仍然需要登录到真正的网站的受害者。如果2 fa(或相似的)是活跃的,他们无法做到没有2 fa代码。

这可能会给受害者带来足够的时间意识到不对,和改变他们的登录细节离开网络钓鱼一无所有。

然而,即使启用了2 fa,事情可能出错。通常这种方法再次关注的受害者。假的会要求用户名和密码登录网站,但也问受害者进入钓鱼网站2 fa代码。这段代码将自动进入到真实的东西,或打在手动(由攻击者和匆忙!)。有时他们甚至问受害者上传文件旨在防止攻击者登录。

然而,这一次,他们把EA客户支持人员在他们的视线里。

与客户支持

声明中读取如下:

通过我们的初步调查我们可以证实,许多账户被攻破通过网络钓鱼的技术。利用威胁和其他的“社会工程”方法,个人代理恶意能够利用人类的错误在我们的客户体验团队和绕过两因素身份验证来获得玩家账户。

攻击受害者通过客户支持并不是新技术,但是习惯这里壮观的效果。不清楚的语句是如何上演。然而,钓鱼者经常偷登录通过虚假网站第一,然后去客户支持假装受害者是谁“锁定”或忘记他们的细节。他们使用的碎片已经偷来的数据去说服客户支持他们真正的交易,然后把信息从客户支持完成攻击。

另一种方法是事先跟客户支持,没有行动,和“简单的“社会工程师进入完整的帐户控制。困难,但并非不可能,很多涉及到员工培训。

伤害,进一步措施

这是下一部分的声明:

此时,我们估计不到50账户已在使用这种方法…当我们彻底的调查还在继续检查可疑邮件的每一个主张妥协账户的变更请求并报告。

不管是否武装前偷来的数据,所涉及的骗局改变相关的注册邮件账户。更多的培训肯定似乎是关键,因为他们继续说:

所有EA EA的协助服务顾问和个人账户接收个性化的部门和额外的团队训练,特别强调账户使用安全实践和网络钓鱼技术在这个特定的实例。

我们正在实施额外的步骤帐户所有权验证过程,如强制管理批准所有电子邮件变更请求。

我们的客户体验软件将被更新,以更好地识别可疑活动,国旗高危帐号,进一步限制了潜在的人为错误的账户更新过程。

所有的好举措EA。

广阔的世界2 fa保护

一个警告:钓鱼者完全绕过你,跨越客户支持意味着你2足总不能帮助在这种情况下。另一方面,保持账户锁定工具如2足总可能导致他们不得不梦想这样的骗局在第一时间。使他们更努力的工作,额外英里,自然提出有点疲劳障碍。许多也只是继续和目标更不安全账户。

我想不出许多游戏平台或标题涉及密码也不提供特定服务2。游戏机有它,Xbox它,一样吗蒸汽史诗。许多平台和标题提供奖金使额外的安全措施

所有这些形式的保护不同,不同程度的安全。一些是基于短信的,总比没有好,但成熟的开发通过SIM交换。钓鱼者会想出创新的方式绕过应用,特别是在一些交叉桌面的存在

最好的组合,如果可用,可能是密码管理器和一个硬件安全的关键。一些密码经理,例如LastPass,将预先填充登录信息给你,但前提是你在真正的网站。如果你发送到一个虚假的网站,什么都不会发生,你就会知道你在错误的地方。

与此同时,物理安全密钥处理身份验证,不需要短信和应用。有几个例子成功的攻击身体棒,但他们非常罕见。再次:这不会帮助如果攻击者拖自己通过客户支持在终点线。这是你的手。即便如此,你锁在你结束这只能可能有利于你和阻碍。