Online games en casino’s zijn leuk – gehackte accounts niet

De markt voor online games blijft hard groeien, maar blijft problemen houden met security en authenticatie. Zowel de online gokmarkt als de markt voor gewone online multiplayerspellen hebben te maken met diefstal van accounts, waardoor criminelen zichzelf ten koste van de diensten en hun gebruikers kunnen verrijken. De mogelijke problemen zijn voor gokwebsites duidelijker aanwezig, zoals diefstal van accounts en minderjarigen, gokverslaafden en valsspelers die toegang krijgen tot diensten waar ze niet op mogen komen. Maar accounts voor online multiplayerspellen vormen eveneens een aantrekkelijk doelwit door enorme hoeveelheden aan persoonsgegevens of fictieve handelswaar in het spel dat kan worden verkocht voor echt geld. Of natuurlijk de doorverkoopwaarde van volledige accounts.

Sinds de introductie van World of Warcraft is de markt voor online games uitgegroeid tot een enorme wereldwijde markt. Iedere dag loggen miljoenen mensen in en delen daarbij gevoelige persoonsgegevens met de aanbieder om de abonnementsgelden of extra diensten te betalen. De markt voor online multiplayer is sinds 2005 maar liefst verdrievoudigd en kent een omzetwaarde van meer dan $ 41 mld. Volgens een recent onderzoek van Technavio zal dat de komende jaren met 11% verder stijgen. De Europese Commissie schat op zijn beurt dat de online gokmarkt binnen de EU ondertussen meer dan € 14 mld waard is, terwijl sommige bronnen zelfs uitgaan van € 16 mld. Dit ondanks de strenge regulering die binnen Europa gangbaar is.

Accounts voor online spellen: een geliefd doelwit

Het is vanzelfsprekend dat cybercriminelen graag een hap uit deze markten willen nemen. Grote incidenten, zoals de hack van het Playstation Network in 2011 waarbij 77 miljoen accounts werden getroffen, halen het nieuws, maar dit is slechts het topje van de ijsberg. Regelmatig worden individuele gebruikers het slachtoffer van accountdiefstal. Accounts voor diensten waarop games kunnen worden aangeschaft staan op de zwarte markt te koop voor rond de € 50, een ‘koopje’ omdat de gemiddelde waarde van de gekochte spellen die aan zulke accounts zijn gekoppeld boven de € 500 ligt. Hoewel de meeste diensten via e-mail om een extra bevestiging vragen, blijkt het soms mogelijk dit te omzeilen door werknemers van de aanbieder om de tuin te leiden.

De gebruiker is altijd het grootste slachtoffer hiervan. Niet alleen omdat er spullen kunnen worden gekocht zonder zijn medeweten, maar ook doordat zijn persoonsgegevens in de verkeerde handen komen. Gestolen accounts voor online multiplayerspellen zijn ook een populaire manier om crimineel geld wit te wassen, bijvoorbeeld door fictieve digitale goederen te kopen en deze door te verkopen aan gamers. Zeldzame wapens, pantsers of magische artefacten uit World of Warcraft worden ieder jaar voor in totaal € 1,6 mln op eBay van de hand gedaan, zo schat securityleverancier Kaspersky. Daaronder zitten ook fictieve goederen die zijn gestolen van gehackte accounts. Vaak worden wachtwoorden voor meerdere diensten gebruikt, waardoor het risico voor gebruikers alleen maar toeneemt.

Pek en veren

Dergelijke problemen bestaan ook voor aanbieders van online gokdiensten. Creditcardgegevens worden ook hier driftig uitgewisseld. Soms worden hackmethodes aangewend om vals te spelen, wat neerkomt op beroving van echte online spelers. Zo hackten criminelen accounts voor online pokerspellen in 2015. Met een malwarepakket genaamd Odlanor konden ze zo in de kaarten van hun tegenstanders ‘spieken’. Vervolgens schoven ze aan bij de betreffende tafel en ‘wonnen’ ze het geld van die speler.

Ook de compliance kan voor problemen zorgen. In de meeste Europese landen is het voor online gokdiensten en casino’s verplicht om minderjarigen en gokverslaafden actief de toegang tot de diensten te ontzeggen. Maar de technologie die hiervoor moet zorgen is niet altijd onfeilbaar. Zo konden gebruikers in België zich met een vervalste staatsregistratie probleemloos registreren bij wedkantoren. Dienstverleners staan voor een enorm probleem, omdat de autoriteiten in zulke gevallen kunnen overgaan tot een verbod voor het niet nakomen van de regels. Pas toen de regels werden aangescherpt, bleken honderdduizenden valse registraties in omloop te zijn, veel meer dan het geschatte aantal online gokkers in België. Omdat steeds vaker op gokwebsites wordt ingelogd met een smartphone, kan diefstal of verlies van zo’n apparaat ook leiden tot ongeautoriseerde toegang.

De noodzaak voor twee-factorautenticatie

Het is duidelijk dat sterke authenticatie een noodzaak is. Gelukkig bieden steeds meer aanbieders van online spellen deze mogelijkheid. Zo heeft World of Warcraft het mogelijk gemaakt om naast de klassieke gebruikersnaam en wachtwoord een twee-factorautenticatie te gebruiken. Wie hiervoor kiest, moet bij iedere login een code invoeren die binnenkomt via een aparte token. Om een account te hacken zal de crimineel naast de logingegevens dus een specifiek apparaatje moeten stelen. Voor de meeste hackers is dit praktisch niet te doen.

Ook online casino’s en wedkantoren, voor wie het beheer van accounts van wezenlijk belang is, zijn serieus bezig met identiteitsbeheer. Unibet gebruikt bijvoorbeeld de MYDIGIPASS-dienst van VASCO, dat werkt op basis van de elektronische identiteitskaart (eID) die de Belgische overheid verschaft. Hiermee is de identiteit van iemand streng te controleren, ongeacht welk apparaat in gebruik is. Het is een van de manieren waarmee Unibet zich aan de strenge regelgeving houdt, ook indien deze regels in de toekomst worden aangescherpt.

Uiteindelijk moet worden ingezien dat providers van online spellen, casino’s en wedkantoren diensten leveren waarin veel en grote transacties plaatsvinden en gevoelige persoonsgegevens worden uitgewisseld. Dat alleen al maakt ze aantrekkelijk voor cybercriminelen. Daarom verdient identiteitsbeheer veel aandacht. Gelukkig zien steeds meer bedrijven dit in en raken sterkere authenticatiemethodes in zwang. De bescherming van hun klanten en hun eigen business is minstens zo belangrijk als bij ieder ander ‘serieus’ online bedrijf.

Michiel van Blommestein is journalist

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *