-
-
Steam游戏每月有7.7万账户遭到攻击
-
发表于: 2015-12-15 21:57 2434
-
新闻链接:http://www.seehand.com/community/1224.html
新闻时间:2015年12月15日 13:52
新闻正文:
Valve公司受欢迎的游戏平台最终妥协,因为其平台上遇到了猖獗的欺诈和不安全活动。
游戏厂商Valve公司承认,它的Steam游戏社区遇到了账户遭窃的一些问题,现在已采取保护用户的措施。Valve公司所采取的保护用户的新措施是否足以保护Steam仍需进一步考察。
“我们发现,每月约有7.7万账号被劫持和攻击,”Valve公司在一篇博文为其新安全措施解释道,“用户可能作为较大群组的一部分,或者甚至作为个人成为随机的攻击目标。黑客可能会为付款等待数月,并一直无情地尝试访问账户。要与那些以窃取你的财物为生的人斗争,是场必败的战争。”
Steam交易社区是账户攻击者的重要目标,该社区能够让用户之间相互交易物品。
Valve公司现在为Steam账户引入了一个双重认证(2FA)系统,称之为Steam移动卫士。所有2FA系统的基本原理在于提供第二项因素或设备,用户需要用它来登录账户,因此账户被窃的风险就减少了。与简单地植入现有的2FA技术不同,Valve公司创建了Steam自己的系统。Google公司的Authenticator是现在使用中流行的2FA技术之一。
“要求用户从一般的认证器中获取一个代码,然后输入到一个已遭劫持的PC中来确认一项交易,这意味着攻击者可以欺骗他们卖掉他们不想卖的物品。”Valve写道,“这基本不太可能再使用一般的第三方认证器来确认交易,例如Google Authenticator。”
安全专家对Valve公司采取新措施来保护Steam用户并不奇怪。Rapid7公司的高级安全顾问Mark Stanislav称,Steam和其他涉及数字货币的游戏平台一直是对罪犯非常有吸引力的目标。尽管Steam已成为目标,Stanislav强调说,Steam公司的约1.25亿用户中,仅很小比例用户的账号遭到攻击。每个月约有7.7万账户被窃,这意味着被攻击的用户少于1%。
“尽管该数量当然是个大问题并非少数,但其仅表明了在巨大的群体下攻击者成功的机会有多少。”Stanislav说。
EMC的安全部RSA市场负责人Rob Sadowski评论称,潜在具有经济利益的服务或系统均会成为攻击目标,Steam的流行性再加上游戏内商业容量使其成为高价值的目标。他说,事实上,没有完善的安全机制,较为“传统”的交易系统——例如,银行——或者类似的系统中能发现欺诈控制,就创造了攻击机会,游戏平台可能是较易遭攻击的系统。
“不应忽视的是,可能不像银行账户或金融交易,用户对于游戏账户或虚拟财物不具有相同水平的意识,”Sadowski说道,“因此,他们在保护游戏账户时,不会那么仔细和周到。”
关于新的Steam移动卫士的双重认证系统,Sadowski说,强的认证方式在认证用户确为他们时,是一项非常有效的控制手段。
“然而,认证应当由其他诈骗监视和控制手段增强,通过分析用户的行为,高亮预示各类型欺诈或滥用的高风险活动。”Sadowski说道。
Stanislav对于Steam移动卫士2FA系统在用户方面持乐观态度,尽管在过去的案例中,游戏世界中这类系统曾被失败过。
“去年初,我们看到了一种恶意软件,它事实上可以拦截魔兽世界的双重认证代码,”他说,“正因如此,Steam所采取的措施中,用户不是简单地将他们的移动设备中生成的代码输入到PC中,相反,通过他们的手机直接向Steam的基础设施执行认证行为。”
Stanislav的观点是,如果游戏用户大量采纳的话,Steam的2FA系统的方法和手段应该会大幅减少数字盗窃。
“总是存在一种风险,即新的安全问题可能会被发现,使得攻击者可绕开该安全控制措施,在移动应用中找到弱点,或者对游戏用户进行社交攻击从而实施导致账户安全弱化的行动,”Stanislav说,“但是,这些新途径对于一般的罪犯来说要难得多,由于攻击成功的复杂性增加,攻击者可能会寻找其他的平台或群体作为目标。”
新闻时间:2015年12月15日 13:52
新闻正文:
Valve公司受欢迎的游戏平台最终妥协,因为其平台上遇到了猖獗的欺诈和不安全活动。
游戏厂商Valve公司承认,它的Steam游戏社区遇到了账户遭窃的一些问题,现在已采取保护用户的措施。Valve公司所采取的保护用户的新措施是否足以保护Steam仍需进一步考察。
“我们发现,每月约有7.7万账号被劫持和攻击,”Valve公司在一篇博文为其新安全措施解释道,“用户可能作为较大群组的一部分,或者甚至作为个人成为随机的攻击目标。黑客可能会为付款等待数月,并一直无情地尝试访问账户。要与那些以窃取你的财物为生的人斗争,是场必败的战争。”
Steam交易社区是账户攻击者的重要目标,该社区能够让用户之间相互交易物品。
Valve公司现在为Steam账户引入了一个双重认证(2FA)系统,称之为Steam移动卫士。所有2FA系统的基本原理在于提供第二项因素或设备,用户需要用它来登录账户,因此账户被窃的风险就减少了。与简单地植入现有的2FA技术不同,Valve公司创建了Steam自己的系统。Google公司的Authenticator是现在使用中流行的2FA技术之一。
“要求用户从一般的认证器中获取一个代码,然后输入到一个已遭劫持的PC中来确认一项交易,这意味着攻击者可以欺骗他们卖掉他们不想卖的物品。”Valve写道,“这基本不太可能再使用一般的第三方认证器来确认交易,例如Google Authenticator。”
安全专家对Valve公司采取新措施来保护Steam用户并不奇怪。Rapid7公司的高级安全顾问Mark Stanislav称,Steam和其他涉及数字货币的游戏平台一直是对罪犯非常有吸引力的目标。尽管Steam已成为目标,Stanislav强调说,Steam公司的约1.25亿用户中,仅很小比例用户的账号遭到攻击。每个月约有7.7万账户被窃,这意味着被攻击的用户少于1%。
“尽管该数量当然是个大问题并非少数,但其仅表明了在巨大的群体下攻击者成功的机会有多少。”Stanislav说。
EMC的安全部RSA市场负责人Rob Sadowski评论称,潜在具有经济利益的服务或系统均会成为攻击目标,Steam的流行性再加上游戏内商业容量使其成为高价值的目标。他说,事实上,没有完善的安全机制,较为“传统”的交易系统——例如,银行——或者类似的系统中能发现欺诈控制,就创造了攻击机会,游戏平台可能是较易遭攻击的系统。
“不应忽视的是,可能不像银行账户或金融交易,用户对于游戏账户或虚拟财物不具有相同水平的意识,”Sadowski说道,“因此,他们在保护游戏账户时,不会那么仔细和周到。”
关于新的Steam移动卫士的双重认证系统,Sadowski说,强的认证方式在认证用户确为他们时,是一项非常有效的控制手段。
“然而,认证应当由其他诈骗监视和控制手段增强,通过分析用户的行为,高亮预示各类型欺诈或滥用的高风险活动。”Sadowski说道。
Stanislav对于Steam移动卫士2FA系统在用户方面持乐观态度,尽管在过去的案例中,游戏世界中这类系统曾被失败过。
“去年初,我们看到了一种恶意软件,它事实上可以拦截魔兽世界的双重认证代码,”他说,“正因如此,Steam所采取的措施中,用户不是简单地将他们的移动设备中生成的代码输入到PC中,相反,通过他们的手机直接向Steam的基础设施执行认证行为。”
Stanislav的观点是,如果游戏用户大量采纳的话,Steam的2FA系统的方法和手段应该会大幅减少数字盗窃。
“总是存在一种风险,即新的安全问题可能会被发现,使得攻击者可绕开该安全控制措施,在移动应用中找到弱点,或者对游戏用户进行社交攻击从而实施导致账户安全弱化的行动,”Stanislav说,“但是,这些新途径对于一般的罪犯来说要难得多,由于攻击成功的复杂性增加,攻击者可能会寻找其他的平台或群体作为目标。”
赞赏
看原图
赞赏
雪币:
留言: