Electronic Arts (EA) baru-baru ini mengaitkan serangkaian pengambilalihan akun profil tinggi pemain FIFA Ultimate Team dengan "kesalahan manusia" dalam tim pengalaman pelanggannya, beberapa di antaranya tampaknya menjadi mangsa serangan phishing yang direkayasa secara sosial. pedagang top game Ultimate Team FIFA minggu lalu melaporkan bahwa akun mereka telah diambil alih dan dibersihkan dari poin dan ribuan dolar dalam mata uang game, EA meluncurkan penyelidikan.
Perusahaan menemukan bahwa phisher berhasil "mengeksploitasi kesalahan manusia" di antara dukungan pelanggan EA staf untuk mengkompromikan kurang dari 50 akun pedagang teratas, tulis perusahaan dalam posting di situs webnya Selasa.
“Memanfaatkan ancaman dan metode 'rekayasa sosial' lainnya, individu yang bertindak jahat dapat mengeksploitasi kesalahan manusia dalam tim pengalaman pelanggan kami dan melewati dua -faktor otentikasi untuk mendapatkan akses ke akun pemain,” kata perusahaan itu.
Ultimate Team adalah game sepak bola online yang memungkinkan pemain untuk membangun regu virtual pemain kompetitif kehidupan nyata dan kemudian bersaing dengan tim lain secara online. Trader top mengumpulkan mata uang dan poin dalam game yang signifikan dengan memperdagangkan pemain dan membangun berbagai tim di dalam game.
Apa yang akhirnya ditemukan EA adalah skenario yang dijelaskan secara online oleh trader, yang membagikan tangkapan layar online dari aktivitas akun aneh, seperti penyerang yang menghubungi staf pelanggan EA melalui fitur obrolan langsung, menuntut agar alamat email akun diubah.
Sementara staf mengabaikan banyak dari permintaan ini, setidaknya satu staf dukungan pelanggan akhirnya menyerah pada tuntutan terus-menerus dan mengubah alamat email pemegang akun. Ini mengharuskan staf untuk melewati prosedur keamanan yang memerlukan verifikasi tambahan dari pemilik akun, menurut pengguna Twitter dan pedagang Tim Ultimate bernama FUT Donkey, yang mengatakan bahwa akunnya telah diretas. detail akun sampai beberapa penasihat yang tidak kompeten akhirnya memberi mereka akun,” FUT Donkey tweeted.
Faktor Manusia
Memang, ketika penyerang menggunakan rekayasa sosial terhadap staf pendukung, “selalu sulit untuk menghilangkan risiko kompromi akun,” seorang profesional keamanan mengakui.
“Dengan definisi, staf dukungan pelanggan diharapkan untuk membantu orang-orang yang sering memiliki informasi yang tidak sempurna tentang akun mereka,” Jake Williams, salah satu pendiri dan CTO di BreachQuest, menulis dalam email ke Threatpost. “Sayangnya, scammers juga dapat mengumpulkan informasi yang tidak sempurna tentang akun korban mereka.”
Untuk bagiannya, EA meminta maaf “atas ketidaknyamanan dan frustrasi yang ditimbulkan oleh situasi ini” dan mengakui bahwa “selalu ada faktor manusia untuk keamanan akun dan kami tahu kami harus melakukannya lebih baik," kata perusahaan itu dalam postingannya.
Selanjutnya, EA akan mengambil langkah-langkah untuk menerapkan apa yang direkomendasikan Williams sendiri kepada organisasi dengan staf dukungan pelanggan untuk menghindari skenario seperti itu: yaitu, "untuk menerapkan pelatihan rekayasa sosial bagi staf dan menerapkan kebijakan untuk menghilangkan ambiguitas dalam proses dukungan,” tulisnya kepada Threatpost.
Williams juga menyarankan bahwa “operasi yang menyediakan akses ke akun profil tinggi atau bernilai tinggi harus memerlukan peninjauan oleh banyak staf,” termasuk anggota staf senior.
Response dan Impact
Sebagai tanggapan atas insiden tersebut, EA akan membutuhkan "penasihat EA dan individu yang membantu dengan layanan akun EA" untuk menerima pelatihan ulang individu dan tambahan pelatihan tim nasional yang secara khusus berfokus pada praktik keamanan dan teknik phishing, kata perusahaan itu.
EA juga akan menambahkan langkah-langkah ke proses verifikasi kepemilikan akun Tim Ultimate FIFA, "seperti persetujuan manajerial wajib untuk semua permintaan perubahan email," kata perusahaan itu. Itu juga akan memperbarui perangkat lunak pengalaman pelanggannya untuk lebih mengidentifikasi dan menandai aktivitas mencurigakan dan akun berisiko untuk "lebih membatasi potensi kesalahan manusia dalam proses pembaruan akun," menurut postingannya. platform game: Sama seperti trader papan atas yang bersaing untuk mendapatkan kehormatan dan mata uang dalam game, peretas yang menargetkan platform ini juga akan terus memamerkan keahlian mereka, kata profesional keamanan lainnya dalam email ke Threatpost.
“Gamer dan streamer adalah tren global besar-besaran di seluruh platform media sosial, menarik perhatian jutaan orang yang ingin mengetahui teknik rahasia mereka tentang bagaimana mereka mencapai level berikutnya,” kata Joseph Carson, kepala ilmuwan keamanan dan penasihat CISO di ThycoticCentrify. “Peretasan sekarang juga menjadi acara streaming yang dimuliakan dengan peretas top dunia yang mengalirkan keterampilan peretasan mereka secara online, memamerkan teknik dan metode baru tentang cara melewati keamanan dan mendapatkan pijakan awal.”
Sayangnya untuk platform game, tren baru ini pasti akan “ tumbuh dan terwujud di tahun depan,” tambahnya dalam emailnya.
Image milik Pixabay.
PasswordReset: Acara Sesuai Permintaan: Fortify 2022 dengan strategi keamanan kata sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada manajemen kredensial perusahaan, dasar-dasar kata sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & Streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
