近日，Akamai發(fā)布了《互聯(lián)網(wǎng)安全狀況報告——游戲：保障安全豈能單打獨斗》。該報告顯示，在2018年至2020年間，攻擊者針對視頻游戲公司和游戲玩家發(fā)起了大量攻擊。其中特別指出與新冠疫情隔離有關(guān)的攻擊流量上升。此外，該報告還研究了攻擊者的攻擊動機(jī)，探討了游戲玩家可以采取哪些措施來保護(hù)其個人信息、帳戶和游戲資產(chǎn)的安全。最后，該報告提取了一份即將發(fā)布的調(diào)查中的要點——該調(diào)查研究了玩家對于安全性的態(tài)度，由Akamai與知名電競狂歡節(jié)DreamHack合作開展。

Akamai安全研究員兼《互聯(lián)網(wǎng)安全狀況報告》作者Steve Ragan表示：“虛擬戰(zhàn)斗與真實攻擊之間的界限已經(jīng)消失。犯罪分子正在不斷發(fā)動針對游戲和玩家的攻擊，以入侵帳戶、竊取個人信息和游戲資產(chǎn)并從中獲利，以及獲得競爭優(yōu)勢。重要的是，游戲玩家、游戲發(fā)行商和游戲服務(wù)必須結(jié)合運用技術(shù)、警惕性和良好的安全習(xí)慣，協(xié)同對抗這些惡意活動。”

這份最新報告強(qiáng)調(diào)，游戲玩家自身經(jīng)常受到犯罪活動的干擾，犯罪分子主要采用的是撞庫和網(wǎng)絡(luò)釣魚攻擊。從2018年7月到2020年6月，Akamai觀察到超過1000億次撞庫攻擊。這些攻擊中，有將近100億次針對的是游戲行業(yè)。為了發(fā)動此類攻擊，犯罪分子會嘗試使用用戶名和密碼組合列表訪問游戲和游戲服務(wù)，這些列表通常可以通過某些違法網(wǎng)站和服務(wù)買到。每次成功的登錄都表明有一名游戲玩家的帳戶遭到入侵。

網(wǎng)絡(luò)釣魚是針對游戲玩家的另一種主要攻擊形式。在這種方式中，惡意攻擊者會創(chuàng)建與游戲或游戲平臺相關(guān)的、看似合法的網(wǎng)站，目的是誘騙玩家泄露他們的登錄憑據(jù)。

在2018年7月至2020年6月間，Akamai還觀察到其客戶遭受了106億次Web應(yīng)用程序攻擊，其中超過1.52億次針對的是游戲行業(yè)。絕大多數(shù)攻擊屬于SQL注入(SQLi)攻擊，其目的是利用目標(biāo)服務(wù)器數(shù)據(jù)庫中存儲的用戶登錄憑據(jù)、個人數(shù)據(jù)和其他信息。本地文件包含(LFI)是另一種值得注意的攻擊向量，它可以泄露玩家和游戲的詳細(xì)信息，這些信息最終可用于漏洞攻擊或作弊。犯罪分子通常使用SQLi和LFI攻擊來攻擊移動和Web游戲，這是因為在成功利用漏洞后，犯罪分子即可訪問用戶名、密碼和帳戶信息。

在2019年7月至2020年6月間，Akamai觀察到5600次不同的DDoS攻擊，其中有3000多次針對的是游戲行業(yè)，這使得該行業(yè)成為了迄今為止遭受攻擊數(shù)量最多的行業(yè)。該報告回顧了Mirai僵尸網(wǎng)絡(luò)。該僵尸網(wǎng)絡(luò)最初由大學(xué)生創(chuàng)建，用于迫使Minecraft服務(wù)器停止運行，后來又用于發(fā)起一些“史上”最大規(guī)模的DDoS攻擊。報告指出，與游戲相關(guān)的DDoS攻擊在節(jié)假日以及學(xué)校假期期間會出現(xiàn)激增。這很可能表明攻擊者從學(xué)?；氐搅思抑小?/p>

在今年早些時候的新冠疫情隔離期間，視頻游戲成為娛樂和社交互動的主要渠道，犯罪分子也利用了這場疫情帶來的機(jī)會。隨著全球各國制定隔離措施，撞庫活動明顯增加。其中許多攻擊流量的出現(xiàn)是因為犯罪分子在測試通過過往數(shù)據(jù)泄露獲得的憑據(jù)，其目的是入侵使用現(xiàn)有用戶名和密碼組合創(chuàng)建的新帳戶。

盡管許多游戲玩家都遭遇過黑客入侵，但似乎很少有人擔(dān)心這一問題。在Akamai和DreamHack合作開展的一項即將發(fā)布的調(diào)查中(研究玩家對于安全性的態(tài)度)，有55%被視為“資深玩家”的受訪者承認(rèn)，自己曾經(jīng)遇到過帳戶盜竊;而這其中只有20%的人表示對此問題感到“擔(dān)心”或“非常擔(dān)心”。

該報告認(rèn)為，即使是狂熱的游戲玩家，也可能無法意識到與其帳戶相關(guān)聯(lián)的數(shù)據(jù)中蘊含的價值，而犯罪分子卻可以。

Akamai和DreamHack的調(diào)查還發(fā)現(xiàn)，游戲玩家將安全性視為多方共同努力的結(jié)果。在承認(rèn)過去曾被黑客入侵的受訪者中，有54%認(rèn)為這是應(yīng)由游戲玩家與游戲開發(fā)商/公司共同承擔(dān)的責(zé)任。該報告概述了游戲玩家為保護(hù)自身及其帳戶而可以采取的舉措，例如使用密碼管理器、雙重身份驗證以及獨特且復(fù)雜的密碼。報告還指出，大多數(shù)游戲公司都會發(fā)布資源頁面，供游戲玩家從中選擇使用附加安全功能。

DreamHack首席戰(zhàn)略官Tomas Lyckedal表示：“游戲一直有著讓不同人群融洽相處的作用，因此DreamHack希望確保我們寶貴的粉絲和玩家群體能夠抵御此類網(wǎng)絡(luò)攻擊。這些調(diào)查結(jié)果十分重要，參與這一過程的每個人可以確保我們能夠齊心協(xié)力，在使用全球化的平臺時盡一切努力保護(hù)隱私和個人信息。”

以下事實仍然存在：游戲玩家之所以成為重點攻擊目標(biāo)，是因為他們的幾個特征正好符合犯罪分子的要求。他們積極參與社群活動。在大多數(shù)情況下，玩家擁有可支配的收入，并且傾向于將其用在游戲帳戶和游戲體驗上。這些因素彼此結(jié)合，導(dǎo)致犯罪分子將游戲行業(yè)視為有著豐富攻擊目標(biāo)的環(huán)境。