Как защитить аккаунт uplay от взлома

Как можно лишиться игрового аккаунта и как его защитить

1. Танковые угонщики
2. Знание — сила, Или береженого Бог бережет
3. Дьявол в деталях

Уходят в историю большие красивые коробки с видеоиграми. Цифровая дистрибуция вытесняет физические носители, и поступь технического прогресса остановить уже невозможно. Точно также исчезли из застекленных сервантов коллекции видеокассет и огромные сотовые телефоны с антенной из внутренних карманов красных пиджаков. Покупка игр в онлайн-сервисах стала привычной процедурой, удобной и доступной. Но здесь не обошлось без рисков, и именно о них сегодняшний материал.

Танковые угонщики

Игровой аккаунт, в которые вложены денежные средства — и порой немалые! — является, по сути, материальной ценностью. А там где ценности, всегда рано или поздно появятся злоумышленники. Беспринципные мошенники, преступники новой формации, сетевые жулики. От названия таких людей суть проблемы не меняется — всегда есть риск столкнуться с гражданином сомнительных моральных качеств, и он может решить, что ему ваш аккаунт нужнее, чем вам.

Если вы внезапно столкнулись с невозможностью войти в свой профиль, так как на нем идет независящая от вас активность, знайте — вас обокрали. И даже если удается вернуть аккаунт, на нем вы можете не найти всю свою собственность.

Яркий пример: со стороны звучит забавно, но в последние годы все чаще в полицию приходят заявления об угоне танков. Нет, речь не о дедовском трофее, доставленном в родное село из Берлина в 1945-м. В ММО World of Tanks нередки случаи хищений. Комьюнити игры большое, неосторожных пользователей много, темных личностей привлекают значительные суммы денег, вложенные в «танковые» аккаунты. К чести правоохранителей, они относятся со всей серьезностью к подобным случаям. Так, в 2016 году уголовный розыск нашел украденный премиум-танк игрока из Северодвинска в. Санкт-Петербурге. Не стесняйтесь пойти в полицию, если иного варианта нет.

Откровенно плохой идеей будет покупка чужого аккаунта. С большой долей вероятности вы приобретете украденный профиль. И если моральная сторона вопроса вас не смущает, будьте готовы к тому, что покупку придется вернуть владельцу, или же такой аккаунт заблокирует администрация игры. Компенсировать затраты вряд ли получится.

Передача своего аккаунта также может повлечь его блокировку. Это базовое правило любого сетевого ресурса. Имейте в виду: никто не будет разбираться, продали вы свой аккаунт за звонкую монету или подарили на день рождения дяде из Сыктывкара. Такие действия строго запрещены, исключений попросту нет.

Даже если ваш игровой аккаунт не заинтересовал воров, есть возможность потерять его из-за собственного хамства. Практически все онлайн-проекты, будь то крупнобюджетная ролевая игра или казуальная забава на мобильнике, могут выдать бан за нецензурную брань в чате. И длительность такого бана варьируется от суток до бескрайней вечности.

Знание — сила, Или береженого Бог бережет

Если вы тратите на видеоигры много времени и средств, то вам стоит знать некоторые несложные правила. Многие из таких правил, к слову, пригодятся и в отрыве от мира игр, в современной повседневной жизни.

Многие товарищи игнорируют простейшие меры безопасности, надеясь на славянское «авось пронесет». Не стоит использовать один универсальный пароль для всех ваших онлайн-профилей. Да, это удобно. Но если злоумышленники получат доступ к одному и ваших паролей, они обязательно опробуют его везде, где только можно. Ведь злоумышленники, на минуточку, тоже знают, что один универсальный пароль — это удобно. Прямо сейчас посчитайте, сколько страниц вы открываете одинаковым набором символов. Возможно, вам стоит заняться генерацией разных паролей прямо сейчас!

И не стоит блистать простотой душевной при подборе комбинаций, эту простоту оценят лишь мошенники. Пароль должен быть сложным: «1234», QWERTY и гордое «Василий» запросто падут жертвой простого перебора. Этот преступный метод взлома паролей до сих пор работает, несмотря на почтенный возраст. День рождения вашей второй половинки или дражайшей тещи также не годятся — цифры стоит разбавить буквами. А некоторые сервисы требуют в обязательном порядке введения сложного кода, чередующего цифры с заглавными и строчными буквами. И не побрезгуйте старым добрым блокнотом, запишите код. Некоторые страницы быстренько вас заблокируют, если вы забудете код и попытаетесь вспомнить его методом проб и ошибок.

Очень эффективный способ защиты аккаунта — частая смена паролей. На поверхности вопрос: к чему такие сложности и нет ли здесь первых признаков паранойи? Ответ на все той же поверхности: базы данных крупных сайтов регулярно подвергаются хакерским атакам. Всегда есть риск, что ваш пароль попадет в загребущие ручонки негодяев. И пускай эта вероятность невелика, смена пароля (хотя бы время от времени) лишней не будет.

Не игнорируйте советы администрации интернет-порталов — пройдите двухэтапную идентификацию. Так вы сможете привязать к аккаунту номер вашего телефона. И каждая попытка войти на вашу страницу потребует подтверждения: на прикрепленный номер телефона будет приходить сообщение с краткосрочным кодом. Вы затратите на доступ к личным ресурсам лишние полторы минуты, но значительно прокачаете безопасность данных.

Помните, что ваш логин и пароль к аккаунту являются данными только для вашего личного пользования. Используйте эти данные по прямому назначению — для доступа к личной странице. Если вам поступило необычно щедрое предложение от «Самого Главного Администратора» какого-либо сайта, не спешите вводить логин и пароль для получения тысячи бесплатных игр. Реальная администрация никогда не станет интересоваться вашими личными данными в рамках какой-либо акции. Старайтесь держать такие данные в тайне, не стоит их «засвечивать» даже в личной переписке. И уж тем более будьте осторожны при использовании публичных мест доступа в интернет. Некоторые невнимательные пользователи просто забывают выйти из своего профиля после работы с общественным компьютером. Таким образом следующий пользователь оказывается по умолчанию в вашем аккаунте, если вы оттуда не вышли.

На формах для обсуждения житейских вопросов также не стоит регистрироваться под теми же ником и почтой, которые вы указываете для входа в свой игровой аккаунт. Формула безопасности проста: ник и почта, привязанные к ценному аккаунту, не должны больше мелькать нигде и ни в каком виде — будь то хоть лихая надпись на заборе.

Будьте внимательны к посещаемым страницам. Иногда мошенники точно копируют интерфейс цифрового сервиса и умышленно создают максимально похожий электронный адрес, чтобы их спутали с популярными интернет-ресурсами. Таким образом, погнавшись за халявой на каком-нибудь Stteаm (пример иллюстративный, обычно хитрят более тонко), вы рискуете потерять аккаунт, передав личные данные мошенникам.

Также вспомним об общем правиле интернет-пользователя, пускай даже и далекого от видеоигр. Не открывайте подозрительные файлы! Кроме мерзопакостного вируса они могут содержать шпионские программы, ворующие ваши персональные данные. Под удар могут легко попасть ваши игровые аккаунты.

Остерегайтесь проявлений неожиданной заботы со стороны популярных сервисов. Если на почту пришло предложение безвозмездно улучшить защиту своего аккаунта путем установки той или иной программы, удаляйте такие предложения от греха подальше. Вас попросту хотят развести на персональные данные. Ни один из официальных цифровых сервисов не станет предлагать какие-то дополнительные меры защиты кроме тех, что используются по умолчанию.

Дьявол в деталях

У современного геймера обычно несколько аккаунтов для различных игровых сервисов. Будет нелишним знать, что у разных цифровых платформ есть свои нюансы при пользовании.

Так, каждый сервис имеет свою службу технической поддержки. Но не стоит считать такую службу ультимативным методом решения всех проблем. Примечателен случай с одним из пользователей World of Tanks. Молодой человек более двух лет не посещал свой аккаунт, а когда, наконец, попытался заглянуть в виртуальный ангар, то с удивлением обнаружил, что его танки уже принадлежат другому человеку, а войти вообще не получилось. В техподдержку полетели многочисленные письма со скриншотами и видеозаписями в качестве подтверждения права собственности. Но проблема так и не разрешилась. Причина — длительное непосещение своего аккаунта. Сотрудники техподдержки просто развели руками.

Мало того, известный сервис Ubisoft — Uplay — может полностью удалить игровой аккаунт, если активности на нем не было в течение полугода. Никакого возврата средств не предусмотрено по правилам сервиса. Также будут утеряны и файлы сохранений. Кроме того, будьте готовы, что администрация Ubisoft попросит вас предъявить документ, подтверждающий личность. И если вы откажете в этой просьбе, аккаунт будет заблокирован.

Не менее суров японский индустриальный гигант Sony. За время работы PlayStation Network большое количество пользователей навсегда забанили за угрозы. И за неудачные шутки.

Так, опытный игрок в Fortnite под ником Hamad Jalalie, играя на PS4, получил личное сообщение от соперника, как выяснилось позднее — юного школьника. Сообщение содержало пустые обвинения в читерстве. Завязалась перебранка, и Hamid ответил на нападки: «А мой папа работает в Sony, он тебя забанит». В итоге забанили самого Hamid, который и писать никому не хотел, а просто отвечал на провокационные сообщения. Но именно его высказывание дошло до администрации Sony, а шуток там таких не любят.

Популярный цифровой сервис Epic Games Store тоже, как оказалось, может неприятно удивить. В 2019 произошел ряд блокировок отдельных аккаунтов, владельцы которых покупали за короткий срок большое количество игр. Такую активность приняли за мошенничество. О крупных распродажах руководство EGS как-то позабыло. В подобном случае спешите в техническую поддержку с громогласной жалобой, там обязательно разберутся. Хотя осадок-то останется…

Наконец, народные любимцы, команда Rockstar Games, обнуляли аккаунты игроков в GTA Online за нечестные способы получения внутриигровых доходов. Под такие санкции попали игроки, которые использовали программные баги игры, увеличивая свой счет. Но тут можно и поспорить: игроки не вводили чит-кодов, не влезали в программный код проекта, а просто проявили внимательность и смекалку. Спидраннеры, к примеру, широко используют программные «дыры» для своих рекордов, и никто их не осуждает.

И напоследок. В сервисе Steam есть крутая защита в виде SteamGuard, она обеспечивает двухэтапную проверку при входе в аккаунт с чужого устройства. Обратите внимание, что если вам удобнее подтверждать вход с мобильного телефона (если вдруг нет доступа к домашнему компьютеру), то для этого нужно забраться в настройки и поменять варианты проверки. К слову, SteamGuard может быть случайно отключен (бывали случаи) или деактивирован для более быстрого доступа в аккаунт со стороннего устройства. Не забывайте все-таки включать эту полезную опцию, она того стоит.

Как видите, аккаунту с играми могут угрожать десятки разных напастей. Но достаточно иметь определенный багаж знаний и проявлять осторожность, и тогда ваша цифровая собственность останется личным неприкосновенным имуществом. Просто не забывайте ее беречь и защищать.

Советы геймерам: что делать, чтобы эльф не ушел к другому

Вложили деньги в прокачку персонажа онлайн-игры, но не позаботились о защите? Взломщики уже идут к вам! Несколько советов, как не потерять любимого эльфа 80 уровня

Любите проводить выходные за онлайн-игрой в «Танки», Dota II или WoW, вложили кучу средств в прокачку персонажей, но не позаботились о защите? Специалисты по киберпреступлениям в сфере компьютерных игр уже идут к вам! Возможно, до вас они доберутся не сегодня и, может быть, даже не завтра. Но рано или поздно может наступить день, когда с любимым эльфом 80-го уровня придется попрощаться — и не потому, что он вам надоел.

Индустрия шоу-бизнеса в целом и компьютерных игр в частности на удивление лояльна к компьютерным преступникам. Зачастую хакеры изображаются в произведениях массовой культуры эдакими Робин Гудами, обижающими богатых и плохих и помогающими бедным и хорошим.

Этот эффект дополнительно усиливается тем, что взломщики-пираты регулярно пополняют сети широким ассортиментом бесплатного ПО, в первую очередь все тех же компьютерных игр. Бывают также и более любопытные случаи. Например, летом этого года игру Watch Dogs от Ubisoft, в которой сюжет строится как раз на взломе всего и вся, взломали, чтобы восстановить высокий уровень детализации (производитель намеренно понизил качество графики, что понравилось не всем пользователям).

В общем, для заядлого игрока хакер — персонаж скорее положительный, чем отрицательный. Разумеется, это в корне неправильное отношение — начать с того, что внутри взломанных игр вполне можно обнаружить много добавок, интересных специалистам по компьютерной безопасности. О чем любители халявы, конечно же, редко задумываются.

Впрочем, проблема потенциально опасного пиратского программного обеспечения стара как сами персональные компьютеры. Есть и другие неприятности, напрямую связанные с киберпреступниками с одной стороны и геймерами — с другой. В последнее время россияне познакомились с относительно новой для нашей страны угрозой. Расцвет MMORPG, а также рост популярности интернет-магазинов, продающих ПО и компьютерные игры, привлекли внимание злоумышленников, и российские пользователи попали под раздачу вместе со всем миром.

У меня украли steam-аккаунт, прощай дота, прощай кс, прощай киберспорт. А я ведь уже готов был поднимать аегис #ti5 над головой

Российская Федерация входит в пятерку стран, больше всех страдающих от воровства игровых аккаунтов и предметов или просто денег с привязанной к аккаунту банковской карты. Коллекция «Лаборатории Касперского» насчитывает более 4,7 млн образцов вредоносных программ, нацеленных на любителей онлайн-игр по всему миру. Такая актуальная тема не могла не вдохновить Kaspersky Daily на написание обзора основных геймерских рисков.

Каждый двухсотый геймер в РФ уже хотя бы раз столкнулся с вредоносным ПО, ворующим игровые ценности

Кстати, в Белоруссии крайне серьезно относятся к воровству онлайн-аккаунтов. В начале этого года местные правоохранительные органы и разработчики игры World of Tanks объединились, чтобы найти хакера (как оказалось, он был из Московской области) и возбудить уголовное дело по факту кражи аккаунта.

Аккаунты часто похищают, чтобы перепродать их другим игрокам. Чем больше человеко-часов или денег вы вложили в персонажа, тем более соблазнительным он будет для угонщиков. Хорошо прокачанный персонаж может стоить до $10 тыс. Кроме того, хакеров интересуют данные привязанных к аккаунту банковских карт.

A video posted by Kaspersky Lab Russia (@kasperskylabrus) on Sep 25, 2014 at 10:40pm PDT

Также игры используются как приманка в фишинговых кампаниях, имитирующих официальные рассылки и страницы на сайтах популярных сетевых игр (особенно часто с этим сталкиваются наши фанаты онлайн-игры World of Warcraft).

От взломов страдают многие крупные платформы. Например, этой осенью у пользователей известного магазина игр Steam начали воровать игровые предметы. Кстати, восстановить учетную запись и все честно заработанные игровые «печеньки» (вещи и бонусы) не так уж просто.

У Blizzard на данный момент САМАЯ отвратительная поддержка пользователей! У меня украли аккаунт, а решить эту проблемы совершенно не выходит

Иногда могут восстановить все, а иногда вы получите назад «голого» персонажа без брони, оружия и прочих радостей. Кроме того, учетную запись могут вообще не восстановить.

Недавно также отгремел очередной скандал с Sony Pictures, дочерней компанией крупнейшего производителя на рынке игровых приставок. Это далеко не первая проблема подобного рода у Sony — в 2011 году PlayStation Network из-за взлома не работала несколько месяцев, поэтому можно сказать, что даже крупнейшие производители медленно учатся на ошибках. Что же говорить о пользователях?

Сейчас, в разгар праздничных акций, следует особенно беречься и не поддаваться на провокации, поскольку последствия могут быть печальными.

Отличный подарок под новый год, украли аккаунт в стиме…

Итак, что делать и чего делать не стоит:

• Не переходите по ссылкам, встроенным в «невероятные» предложения, пришедшие на почту или найденные в соцсетях. На то они и невероятные, что могут быть обманом. Проверьте, есть ли на официальном сайте информация о такой же акции, и если да, то лучше введите свои данные на странице официального ресурса. Ссылка, встроенная в письмо, может вести совсем не на тот веб-ресурс.
• Используйте надежные и уникальные пароли для своих игровых аккаунтов, и особенно для почты. В этом году уже очень много учетных записей было взломано, а данные утекли в Сеть — и все из-за слабых паролей. Как вариант — используйте менеджер паролей.
• Будьте внимательны, добавляя в друзья незнакомцев, особенно если они задают слишком уж подробные вопросы о вашей частной жизни.
• Старайтесь загружать контент только у официальных производителей или проверенных продавцов.
• Установите хороший антивирус, способный защитить вас в том числе и когда вы играете. Хороший антивирус — не тот, который меньше всего нагружает систему, а тот, который лучше всего ее защищает.

Защита игр и мобильных приложений от взлома для чайников (Unity, C#, Mono)

Всем снова здравствуйте! Дошли руки написать крутую статью на весьма важную тему для разработчиков игр. Итак, поговорим о защите ваших драгоценных игр и приложений, которые вы пилите на Unity в надежде заработать на буханку хлеба, от взлома злобными школьниками. Почему школьниками? Потому что надежной на 100% защиты априори быть не может. И кто захочет, все равно взломает. Вопрос лишь в том, сколько времени и сил он на это потратит. И как любят шутить безопасники — терморектальный криптоанализ никто не отменял.

Итак, в статье я постараюсь максимально доступно рассказать о 3 аспектах (и конечно, предложу реализацию):

• защита данных приложения (сейвов)
• защита памяти приложения
• защита внутриигровых покупок (Google Play)

1. Подготовка

Для начала нужно научиться преобразовывать игровые данные (типы, классы) в строки. Стоит изучить JSON или XML сериализацию. Начинать с XML не советую, т.к. возникнут проблемы с iOS. Лучше изучить JSON, вот ссылка wiki.unity3d.com/index.php/SimpleJSON. К сожалению, это тема отдельной статьи и я не буду на этом останавливаться. Если лениво разбираться — можно по старинке лепить строку вручную с помощью сепараторов. Например:

Еще нужно уметь преобразовывать строки в массивы байт и обратно. Тут все просто:

Далее строку можно завуалировать, применив к ней base64 преобразование. Особо отмечу, что base64 не является шифрованием, он не имеет ключа шифрования и все такое. base64 преобразует вашу строку в новую строку, состоящую только из ASCII символов. Наглядно посмотреть, как это происходит, можно по ссылке base64.ru. Я просто приведу код реализации:

Также отмечу, что base64 работает быстро и сравним по скорости с операцией сложения. Выполнять такие преобразования можно даже в цикле Update.

2. Защита игровых данных (сейвов)

Итак, теперь мы умеем преобразовывать игровые данные в строку. Теперь надо подумать, куда их сохранять. Первым делом в голову приходит сохранять сейвы в файлы в Application.persistentDataPath. Минусов у данного способа два:

• Application.persistentDataPath может измениться при обновлении приложения (например, приложение переместится на SD карту). Соответственно, файл сохранения будет not found, а пользователь потеряет весь прогресс
• Это не будет работать в web-плеере и windows phone

Второй и самый правильный способ — сохранять в PlayerPrefs. Пример ниже:

О да, детка, супер! Теперь нужно зашифровать наши сохранения. Тут можно по-быстрому выполнить base64 преобразование, это уже защитит сохранения от редактирования через большинство программ для взлома. Но по хардкору самое время прикрутить нормальное шифрование. Сразу к делу, берем AES и шифруем. Копипастим файл AES.cs и не задаемся вопросом, как это работает:

3. Защита памяти приложения

Все помнят такую PC программу, как ArtMoney? Она умела искать значения в RAM и за несколько итераций отсеивания позволяла стать миллионером в игре. Сейчас для Android и iOS подобных программ развелось очень много, например самая популярная — GameKiller.

Защититься от таких программ довольно просто — нужно шифровать значения в памяти приложения. Шифровать КАЖДЫЙ РАЗ при записи и дешифровать КАЖДЫЙ РАЗ при чтении. И так как операция довольно частая, нет смысла использовать тяжелый AES и нам нужен супербыстрый алгоритм. Я предлагаю несколько модифицировать наш base64 и реализовать свое шифрование — эффективное, быстрое, с блэкджеком и XOR:

Теперь, как только мы прочитали и расшифровали AES-ом профиль из сохранения, сразу шифруем все значения этим B64X (название я сам придумал). И расшифровываем каждый раз, когда нужно узнать, сколько денег у игрока, какой у него уровень и т.д. B64X может использовать ключ (пароль) для шифрования, а может использовать рандомный сессионный ключ, чтобы мы не парились, где и как его хранить.

4. Защита внутриигровых покупок

Для многих разработчиков эта тема не актуальна и мало кто реализует защиту. В принципе, если у вас многопользовательская игра, то нужно подумать над защитой ее экономики. Есть такая программа — Freedom. Требует рут и, если в двух словах, подменяет сервис внутриигровых покупок. Короче — игрок может совершать покупки за бесплатно.

Опустим рассмотрение механизма проверки покупок на сервере разработчика, ведь не у всех он есть. Расскажу, что предлагает Google в таких случаях.

UPD: Unity реализовал механизм покупок и их проверку (http://docs.unity3d.com/Manual/UnityAnalyticsReceiptVerification.html), поэтому информация ниже теперь имеет только теоретическую нагрузку.

При создании приложения в консоли разработчика Google генерирует пару ключей для алгоритма RSA — открытый и закрытый ключ. Если не знаете, что это такое — погуглите асиметричное шифрование. Открытый ключ можно получить в консоли разработчика:

Вы его еще используете при реализаци игрового магазина в приложении.

Закрытый ключ Google вам никогда не покажет и будет использовать его для цифровой подписи покупок. Соответственно закрытым ключом можно только зашифровать подпись, а открытым ключом можно только расшифровать подпись.

Механизм защиты получается довольно простой — Google подписывает все json-ответы сервера покупок, и никто другой такую подпись подделать не может. Разработчик, зная открытый ключ, может проверить цифровую подпись ответов сервера. И если сервер был сфабрикован с помощью Freedom, то цифровая подпись будет неправильная.

Перейдем к реализации. Для начала нужно выполнить одну неприятную операцию. Нужно преобразовать открытый base64 ключ из консоли разработчика в xml-ключ, который подойдет для дешифрования подписи. Свиду кажется, что достаточно просто раскодировать его base64. Но это не так. Предлагаю воспользоваться онлайн сервисом и сразу прикопать xml-ключ в приложении. Особо заморачиваться о его защите не стоит — это же открытый ключ. Его могут сфабриковать, но это уже другая история. Итак, сервис вот, вставляем туда свой base64 ключ и получаем xml-ключ: superdry.apphb.com/tools/online-rsa-key-converter

В нижнем поле и есть наш xml-ключ. Сохраняем его в игре или приложении. А дальше все просто. Google возвращает нам покупку. Если использовать в приложении бесплатный плагин для реализации покупок OpenIAB, то это объект класса Purchase, у него есть 2 нужных нам поля:

Теперь приведу реализацию механизма проверки подписи:

Ну и теперь, когда от Google пришел ответ, что покупка совершена, проверяем ее подпись и показываем игроку фигу, если подпись не совпадает:

Хочу отметить, что при совершении покупки лучше добавить рандомный payload к запросу, это защитит от атак man-in-the-middle, когда вам могут повторно подпихивать корректный ответ сервера с правильной, но одной и той же цифровой подписью. Это необязательный аргумент в реализации OpenIAB, на который большинство кладут болт:

Как защитить аккаунт Стим от злоумышленников?

Как защитить аккаунт Стим от взлома? Никому не хочется потерять любимый личный профиль с купленными играми, наградами и другой важной информацией! Есть комплекс действий, которые доступны каждому пользователю – сделали подробную памятку, берите на заметку!

Какие меры предпринять

Стоит задуматься, как полностью защитить аккаунт Стим – ведь на платформе зарегистрированы миллионы пользователей. Далеко не каждый из них – безобидный геймер, возможный товарищ по играм и интересам. Встречаются мошенники, злоумышленники, люди, которые хотят присвоить вашу страницу.

Особенно важно обезопасить аккаунт Стим, если на нем много контента – вы получили массу ачивок, витрин, значков и наград, накопили огромное количество интересных и дорогих игрушек. Поверьте, есть лица, крайне заинтересованные в воровстве вашего акка (иногда – в последующей продаже или личном пользовании).

Предпримем некоторые меры, помогающие защитить страницу? Это несложно, но очень рекомендуемо! Поверьте, безопасность зависит исключительно от вас.

1. Установите хороший антивирус

Есть не только платные, но и бесплатные версии антивирусных программ – выберите одну из них, загрузите на компьютер и запустите. Это поможет защитить аккаунт Стим от вредоносных программ, которые пробираются на устройство и собирают информацию, в том числе, воруют пароли.

2. Сделайте почту надежной

Один из базовых методов, позволяющих защитить профиль. Выберите хороший почтовый сервис (в этом плане плох продукт от Mail.ru, зато выигрывает Google.

Как защитить аккаунт Стим от кражи с помощью почты? Именно почтовый ящик ложится в основу при регистрации, используется для восстановления. Поэтому необходимо:

• Придумать сложный пароль для входа (не дублируйте его на других ресурсах);
• Подключить опцию двухфакторной аутентификации – каждый вход в почту должен сопровождаться запросом кода, приходящего через специальное приложение на смартфон (или СМС-сообщение).

Не будем откладывать работу с паролем в долгий ящик! Еще один базовый принцип, который стоит соблюдать.

3. Придумайте надежный пароль для входа

Кажется, излишне рассказывать, как максимально защитить аккаунт Steam. Сложный и надежный пароль можно составить самостоятельно или подобрать с помощью генератора.

Запомните – не используйте дату рождения, свадьбы или иной знаменательный день, не пишите собственное имя, никогда не выбирайте рядом стоящие символы (например, 12345). Буквально запрещено пользоваться элементарными комбинациями, типа 111 или 0987.

4. Включите Guard

Вот как защитить аккаунт Стим почти на 100%! Воспользуйтесь специальной опцией от разработчика. Guard позволяет подключить двухфакторную аутентификацию для подтверждения личности при входе в профиль.

Настроить двухэтапную авторизацию можно по-разному: через почтовый ящик (будет приходить письмо с кодом) или мобильное приложение (внутри будет появляться код, который сгорает через несколько секунд).

• Нажмите на имя пользователя наверху справа;
• Через выпадающее меню перейдите на вкладку «Об аккаунте» ;

• Найдите раздел «Защита» ;
• Кликните по кнопке «Настройка Guard» .

Если хотите получать коды по электронной почте, достаточно выбрать соответствующий вариант. Следуя инструкциям на экране, подключите почтовый ящик.

Если же хотите понять, как обезопасить Стим аккаунт с помощью мобильного, скачайте специальное приложение из Плей Маркета или Эпстора. В настройках найдите соответствующий пункт – справитесь за несколько минут.

5. Привяжите мобильный номера

Дополнительная мера зашиты – привязка профиля к мобильному телефону. Если вы не сможете открыть почту или приложение для подтверждения личности, воспользуетесь специальной опцией!

• Вернитесь к настройкам, как рассказано выше;
• Найдите раздел «Контактная информация» и кликните «Привязать номер» ;
• Добавьте мобильный по инструкции, которая появится перед вами.

Вся приведенная выше информация подходит в том числе пользователям, которые ищут ответ на вопрос, как обезопасить купленный аккаунт Steam. Мы не рекомендуем приобретать чужие профили, лучше создайте свой и самостоятельно заработайте достижения, покупайте игры и получайте значки!

Тем не менее, с помощью наших рекомендаций вы сможете обезопасить купленный аккаунт Steam от вторжения прежнего хозяина, если возникнет такая необходимость. Вновь напоминаем о крайней недопустимости подобных решений – передавать управление акком запрещено правилами платформы.

Напоследок: никому не сообщайте свой пароль и логин, не оставляйте страницу открытой на чужих или общедоступных компьютерах. Все будет хорошо!

Против взлома есть приёмы: как защитить игровой аккаунт от хакеров

Ночной кошмар любого геймера: захотелось перепройти третьего «Ведьмака», погонять в GTA: San Andreas или, тряхнув стариной, накатить второй Fallout. Включаешь компьютер, заходишь в Steam — и выясняется. В аккаунте хозяйничает кто-то другой, а законный владелец даже не может залогиниться! Разумеется, ушлый хакер первым делом сменил пароль и почту, чтобы раз и навсегда отсечь вас от добросовестно купленных игр, карточек и ящиков со скинами и шляпами.

Думаете, это просто страшилки? Если бы! В компании Valve приводят неутешительные цифры: каждый месяц злоумышленники «уводят» в среднем 77000 чужих страниц со всем имуществом. На кражи жалуются и владельцы Origin, «родного» клиента Electronic Arts, и Uplay от Ubisoft. Гордые хозяева консолей, не спешите расслабляться! Шансы лишиться Xbox Live или PlayStation Network есть и у вас.

Воровство аккаунтов с их последующей перепродажей — серьёзный бизнес. Чтобы в этом убедиться, достаточно сделать в Google соответствующий запрос. В ответ будет выдано множество сайтов с ассортиментом, от которого разбегаются глаза. Хотите впечатлить друзей выслугой лет в Steam? Пожалуйста, цена вопроса — каких-то 400 рублей. Мечтаете заценить Prey и Ghost Recon Wildlands на PlayStation 4, но жаба душит отдавать за них восемь тысяч в сумме? Без проблем, «добрые люди» подгонят штуки за две. Всегда мечтали собрать полную коллекцию шляп в Team Fortress 2, но не собираетесь покупать их у Гейба? Любой каприз за ваши деньги! От клиента требуется только платить, не спрашивая, откуда дровишки, и не возмущаться, когда служба поддержки таки отрубит ему доступ, а ушлый продавец умоет руки. Или в лучшем случае предложит купить новый аккаунт с прокачанными скиллами. Разумеется, тоже ворованный.

Правила взлома

Чтобы вдоволь порезвиться в чужом Origin, Xbox Live или PSN, не надо проявлять чудеса изобретательности. Большинство хакеров обходится простыми, но действенными способами. Перечислим наиболее распространённые.

Фишинг (phishing) — не зря созвучно английскому слову «рыбалка». Потенциальным жертвам закидывают приманку и ждут, пока кто-нибудь клюнет. Чаще всего это массовая рассылка с адреса, очень похожего на настоящий. Представляясь администрацией сервиса (спасибо, что не Гейбом Ньюэллом и Казом Хираи, хотя некоторые оригиналы и этим не брезгуют), обманщики просят пройти по ссылке и авторизоваться на сайте — например, чтобы поучаствовать в конкурсе или просто подтвердить безопасность аккаунта. Ссылка вроде бы ведёт на Steam и подозрений не вызывает. Да и сайт выглядит до того похоже, что сам Гейб не отличит — сделать копию нужной страницы по нынешним временам работа на пару часиков. И только самые внимательные заметят, что им подсунули не steamcommunity.com, a какой-нибудь steamecommunity.com или steamcommonity.com.

Другой популярный способ фишинга — сыграть на неискоренимой тяге к халяве. Достаточно раскидать повсюду ссылки вроде «Генератор золота для WoW. ГАРАНТИЯ 100%. » или «ВАУ. Бесплатные скины для CS:GO. 111». Всё, что нужно, чтобы получить плюшки — пройти по ссылке и ввести логин с паролем. Вот только реальные плюшки достанутся взломщикам, с которыми вы — заметьте, добровольно! — поделились личной информацией. Метод простой, и до сих пор работает — всегда отыщется чайник, который поведётся на обещанные ему горы золота.

Вредоносное ПО. Имя подобным программам — легион, но наиболее распространённые — кейлоггеры. Простота обеспечила им народную любовь: написать такую софтину может даже начинающий кулхацкер. Кейлоггеры «запоминают» всё, что вы вводите с клавиатуры, и передают эту информацию злоумышленнику. Естественно, среди всего, что вы печатаете, рано или поздно окажутся и пароль с логином — а преступнику только этого и надо. Подобного рода программы распространяются в среде геймеров под видом «читов», «генераторов» и прочих свистелок и звенелок.

Впрочем, одними кейлоггерами дело не ограничивается. Последние пару лет у малолетних хакеров популярна Steam Stealer — она может воровать не только аккаунты, но и отдельные предметы из инвентаря. Программа частенько маскируется под любимые геймерами клиенты вроде TeamSpeak и Razer Comms — скачивая её, многие и не подозревают, что на самом деле устанавливают вирус. Steam Stealer дёшева и проста в обращении — за рабочий вариант с вас попросят около 200 рублей, а за версию с исходным кодом и мануалом — 450. Для рынка зловредного ПО, где цены начинаются с 500 долларов за программу, это практически копейки, которые окупаются очень быстро — украденное можно продать чуть ли не сразу же. Не программа, а прямо-таки мечта.

Уязвимости сторонних сервисов. Даже если вы не покупаетесь на обещания халявы и не ходите по сомнительным интернет-закоулкам, взломщики могут получить доступ к вашим данным. Ведь вы зарегистрированы не только на Steam, Google Mail и форуме 4PDA — каждый хоть раз покупал что-нибудь в Ozon, заказывал мелочёвку с AliExpress, искал билет подешевле через какой-нибудь Momondo. Сейчас онлайн-регистрация есть практически у всего — и, чтобы не ломать голову, многие везде вводят одни и те же комбинации цифр, букв, девичью фамилию матушки и кличку любимого кактуса.

Но даже самые крупные сайты и сервисы не всегда выдерживают атаки, цель которых — получить доступ к данным пользователей (прежде всего, разумеется, к их кредиткам). Эти данные потом частенько оказываются в даркнете, где их за не слишком большую плату могут купить все желающие. И хакер, знающий всего лишь один пароль, получает доступ ко всем вашим страницам — а в особо тяжёлых случаях и к почте, и к платёжным реквизитам.

Уязвимости клиентов. Когда речь идёт о крупных сервисах уважаемых компаний, вроде той же Valve или Sony, хочется думать, что уж они-то не накосячат с защитой. Но и на старуху бывает студент. Например, год назад из-за проблем с кэшем Steam можно было случайным образом попасть в чужой аккаунт — чем некоторые не обременённые совестью личности тут же воспользовались.

Последний скандал вокруг платформы разгорелся в феврале этого года — из-за дыры в XSS даже просмотр собственной ленты обновлений или чужого профиля мог обернуться проблемой. Злоумышленнику достаточно было оставить на своей странице сообщение с командой, например, на JavaScript. Клиент Steam исполнял её автоматически, без каких-либо уведомлений — и мог перенаправить на страницу, содержащую более опасные вирусы.

Ну и как забыть про «великий взлом 2011 года», когда хакеры положили серверы Sony и украли данные 77 миллионов пользователей PSN? Так группа Anonymous решила отомстить японской корпорации за попытку засудить Джорджа Хотца по прозвищу Geohot. Ему удалось взломать PlayStation 3 и запустить собственные программы — а это значило, что приставка сможет запускать и пиратские игры.

Что делать, если вас взломали?

Если самое худшее всё же произошло — прежде, чем звать на помощь, лучше сперва проверить компьютер (а заодно и смартфон) антивирусом и сменить пароль электронной почты. После можно и пообщаться с сотрудниками техподдержки разной степени приветливости.

Самый удобный сервис, наверное, у PlayStation Network — можно звонить круглосуточно, можно писать на почту, и вам ответят очень быстро, причём по-русски. Xbox Live рассматривает жалобы через чат, Twitter и форум, но все три — только по-английски, а Twitter отвечает на запросы лишь в определённые часы по местному времени. Впрочем, при необходимости вам могут и позвонить, но звонок надо запрашивать самому. И таки да, разговорный английский тоже самому осваивать. В Origin можно обратиться по телефону — звонки принимаются с 11:00 до 19:00 по московскому времени. Есть и общение через чат (опять же, на языке Альбиона).

А вот со Steam вам, скорее всего, придётся вести долгую переписку — техподдержка Valve славится своей неторопливостью, тем самым основательно понижая ценность в остальном очень удобного сервиса. Готовьтесь к тому, что восстановить аккаунт получится далеко не всегда. А если предыдущий «владелец» успел словить бан от VAC (фирменной защиты от читов в мультиплеере), снять его уже никакими заклинаниями не удастся.

Как защитить себя?

К сожалению, универсальной защиты от киберпреступников по сю пору не изобрели (мы дадим знать, когда это счастье произойдёт). Но есть проверенные временем советы, которые помогут оградить карман и технику от нехороших людей.

Установите двухэтапную аутентификацию. Она сейчас есть практически у всех игровых сервисов. Да, придётся хвататься за смартфон по малейшему поводу (например, если заходите с другого компьютера или пытаетесь загнать какую-нибудь мелочь из внутриигрового инвентаря) — но оно того стоит. Двухэтапная аутентификация — едва ли не самый надёжный из доступных способов защиты от взлома.

Используйте менеджеры и генераторы паролей. Хорошая защита и от кейлоггера, и от брутфорса. Менеджер — программа, которая хранит все ваши пароли (вам нужно будет запомнить только один — от самого менеджера) и вводит их сама, так что злоумышленники не смогут получить их через кейлоггер. А генератор составляет комбинации, подобрать которые просто так не получится. Если вы особенно переживаете за своё добро — выбирайте варианты с дополнительной защитой, вроде входа по отпечатку пальца.

Не открывайте подозрительные файлы. Даже в безобидную с виду PDF-ку можно засунуть вирус, который наделает немало бед. Открывайте только то, что хорошенько обнюхано антивирусом и/или получено из проверенного источника.

Не ходите по сомнительным ссылкам. И не ленитесь лишний раз взглянуть на адресную строку браузера — убедиться, что вас действительно приглашают на нужный сайт, а не к хакерам на раздачу аккаунтов.

Не вводите данные куда попало. Помните: настоящие службы поддержки никогда не попросят вас залогиниться на каком-то стороннем сайте или через почту, да и вообще никогда не станут требовать персональные данные в письме или сообщении. Не нажимайте на ссылки из подобных писем, а если часом угораздило — ни в коем случае не набирайте логин и пароль! Просто закройте страницу, а ещё лучше — очистите кэш браузера после этого.

Пользуйтесь антивирусом. Да, они стоят денег, тормозят компьютер во время проверок и действуют на нервы регулярными предупреждениями. Зато экономят кучу времени, нервов и средств в долгосрочной перспективе. Если раскошеливаться не желаете из принципа, установите бесплатные варианты — ту же Avira.

Не ведитесь на халяву. Именно на это и рассчитывают хакеры, когда сулят генераторы игровой валюты, читы и прочее. Помните: если предложение звучит слишком хорошо — где-то в нём скрыт не только сыр, но и давилка с пружиной.

Взламывали ли хакеры ваши игровые аккаунты?

Как защитить от кражи ваши аккаунты на сайтах и в сервисах

Все активные пользователи сети имеют десятки важных и нужных учетных записей на разных сайтах.

Большинство из них защищены банальным паролем, который при этом совпадает с кодом доступа от ряда других ресурсов.

Если у вас один пароль на все учётки без дополнительной защиты, самое время исправить это и защитить личную информацию.

Как обезопасить любую учётку

Во-первых, проверьте пароль на повторения. Такая довольно полезная фишка появилась еще в iOS 12.

Перейдите по пути Настройки – Пароли и учетные записи – Пароли сайтов и программ. Авторизуйтесь при помощи Face ID или Touch ID и введите название сайта в окне поиска.

Если пароль будет неоригинальным (повторяться с другими сайтами и сервисами), iPhone подскажет это.

Во-вторых, настройте скрытие текста сообщений, чтобы их не смогли прочитать без разблокировки смартфона.

Перейдите в меню Настройки – Уведомления – Показ миниатюр и измените параметр на Если разблокировано или Никогда.

Если смартфон окажется в чужих руках, то злоумышленники не смогут получить приходящий по СМС или в уведомлении пароль для авторизации.

Эта опция доступна по пути Настройки – Сотовые данные – SIM-PIN. Простой четырехзначный пароль не позволит мошенникам использовать сим-карту в другом телефоне для получения одноразового пароля по СМС.

Эти три простых шага позволят минимизировать риск потери доступа к своим учётным записям на сайтах и сервисах с двухфакторной аутентификацией.

Как еще усилить защиту

Следующим шагом по усилению защиты будет переход на двухфакторную аутентификацию по коду.

Получать пароль для авторизации на сайте лучше не по СМС, а из специальных 2FA-приложений (two-factor authentication). Так вы не будите зависеть от оператора связи и уровня сигнала, а еще код не получится узнать путем клонирования вашей СИМ-карты.

Такие приложения аутентификаторы привязываются к сервису или сайту и в дальнейшем генерируют код для авторизации. Алгоритм создания пароля, чаще всего, основывается на текущем времени.

Каждые 30 секунд программа генерирует код, который состоит из части ключа сервиса и точного текущего времени. Приложению не нужен доступ к сети или дополнительные данные для генерации кода.

Большая часть сайтов и сервисов не ограничивает пользователей в используемом 2FA-приложении, однако, некоторые разработчики вынуждают использовать только свои программы аутентификаторы.

Подобным способом можно защитить учетные записи Gmail, Dropbox, PayPal, Facebook, Twitter, Instagram, Twitch, Slack, Microsoft, Evernote, GitHub, Snapchat и многих других сайтов/сервисов/приложений.

Какие приложения можно использовать для двухфакторной аутентификации

Если нужные вам сервисы работают с любыми 2FA-приложениями, на выбор доступны следующие альтернативы:

1. Google Authenticator

Одно из самых популярных приложений для двухфакторной аутентификации от компании Google кажется слишком простым и недоделанным.

В основном окне программы можно добавить токен для авторизации на новом сайте или удалить один из существующих. У программы нет абсолютно никаких настроек и параметров.

В приложении нет дополнительной авторизации при запуске по паролю, Face ID или Touch ID. Однако, больше всего расстраивает отсутствие средств для резервного копирования.

В случае смены гаджета придется заново переподключать все сайты к программе.

2. Microsoft Authenticator

Приложение от Microsoft сильно похоже на предыдущую программу, но здесь разработчики немного постарались. Пользователю можно скрыть любые добавленные токены, чтобы они не были видны сразу при запуске приложения.

Кроме этого при авторизации на сайтах и сервисах Microsoft можно не вводить генерируемый код, а просто нажать на кнопку подтверждения прямо в программе.

Из других приятных фишек – бекап данных в iCloud и блокировка приложения по паролю или отпечатку.

3. FreeOTP Authenticator

Компания Red Hat, которая занимается выпуском ПО на основе операционной системы Linux, разработала свое приложение для двухфакторной аутентификации.

Программа не имеет дополнительной защиты, но зато предлагает пользователю расширенные параметры создаваемого токена. Самые отъявленные параноики могут вручную выбрать алгоритм шифрования, тип защиты и длину генерируемого кода.

Еще приложение FreeOTP имеет открытый исходный код, который изучается энтузиастами на предмет уязвимостей и ошибок.

4. Яндекс.Ключ

Разработчики из Яндекс используют отличную от других подобных сервисов схему шифрования, которая подробно описана здесь. К сожалению, собственные сервисы компании работают лишь с фирменным приложением Яндекс.

Программу можно защитить паролем или сканером Touch ID.

К минусам приложения можно отнести тот факт, что программу не обновляли несколько лет, а еще разработчикам не рассказали о выходе iPhone X с новым соотношением сторон экрана.

5. Authy

Одно из самых мощных и функциональных решений в данной нише. Для начала использования сервиса потребуется регистрация по номеру телефона, что для многих может стать недостатком.

В остальном – одни плюсы и преимущества: есть облачная синхронизация токенов, возможность удаленного отключения от учетной записи потерянного или проданного гаджета, блокировка приложения паролем или по биометрии.

Хранящиеся в облаке бекапы зашифрованы и защищены паролем, который нужно помнить для развертывания базы на другом девайсе.

Клиенты Authy есть не только для iOS или Android. На сайте разработчиков доступны программы под macOS, Windows и Linux, а еще есть расширение для браузера Chrome.

Сам уже несколько лет пользуюсь сервисом и рекомендую именно его.

Это лишь самые популярные приложения аутентификаторы. В App Store можно найти еще несколько десятков подобных программ от менее известных разработчиков. В основном они отличаются дизайном и имеют схожий функционал.

Как настроить двухфакторную аутентификацию

Рассмотрим процедуру включения защиты на примере учетной записи Gmail.

1. Выберите подходящее приложение аутентификатор и установите его на смартфон или компьютер.

2. Включите двухфакторную аутентификацию в своей учетной записи Gmail.

3. В настройках двухэтапной аутентификации укажите способ авторизации через приложение.

4. Отсканируйте предоставленный QR-код через приложение и сохраните токен для входа.

5. Подтвердите привязку аккаунта путем ввода пароля из приложения.

Теперь для авторизации в своей учетной записи на новом устройстве или на старом после разлогинивания кроме пароля потребуется ввести код из приложения аутентификатора.

Так ваши данные будут максимально защищены в случае кражи или утери смартфона, либо, если злоумышленники узнают пароль.

Как защитить свой аккаунт от взлома

Очень часто в комментариях на нашем сайте встречается вопрос «Как обезопасить свой аккаунт на том или ином сайте от взлома?». Например, довольно часто нас спрашивают «Как защитить ВК от взлома?». Простого ответа на эти вопросы, к сожалению, нет. Однако мы можем предложить нашим читателям инструкцию, внимательно изучив которую, они смогут избежать потери личных данных.

Общие принципы защиты от взлома аккаунтов

• Самое главный принцип: используйте максимально сложный пароль ;

• Меняйте пароли как можно чаще;

• Пароли всегда должны быть уникальными для разных сервисов и не повторяться с течением времени;

• Не используйте в качестве пароля свои персональные данные (ФИО, дата рождения) или логин;

• Не пренебрегайте функцией секретного вопроса. Ответ на него понадобится при потере доступа, если ваш аккаунт все же взломают;

• Не входите в Интернет-сервисы с чужих, особенно общедоступных компьютеров и устройств;

• Не используйте общественные точки доступа Wi-F i, а если это все же необходимо, то подключайтесь к ним через VPN ;

• Устанавливайте на компьютер только лицензионное программное обеспечение, позволяющее повысить безопасность серфинга в Интернете: антивирус с актуальными базами и файервол.

Как защитить аккаунты в Windows

С приходом нового поколения операционных систем Windows участились взломы персональных компьютеров. И это не удивительно: начиная с Windows 8 в систему можно войти с учетной записью Microsoft. Это довольно удобно, потому что в единой учётке сохраняется большая часть настроек пользователя, в том числе и документы. Таким образом, можно зайти на рабочий компьютер с использованием персонального логина и мгновенно получить свои «домашние» данные.

Но в простоте таится угроза: стоит злоумышленникам завладеть логином и паролем от учетной записи, как тут же они смогут воспользоваться вашими персональными документами. Как же обезопасить себя от этого? В Windows защитить аккаунты от взлома довольно просто – используйте локальную учетную запись. Да, это не так удобно, ведь рабочий стол и документы будут храниться только на одном устройстве, зато взломать Windows с помощью e-mail точно не получится.

Кстати, одним из самых главных правил безопасности является принцип неразмещения в свободном доступе почтового адреса, который является логином к какому-либо аккаунту.

Как защитить страницу в ВК от взлома

Главная российская социальная сеть помимо общих правил предлагает в официальной инструкции следующие нормы поведения, помогающие защитить ВКонтакте от взлома:

• Регистрировать учетную запись ВК рекомендуется только на новый почтовый ящик, который в дальнейшем не стоит использовать для других интернет-сервисов.

• Привяжите к аккаунту в социальной сети номер телефона и никому не сообщайте коды доступа из смс-сообщений.

• Не используйте расширения для браузеров или программы для компьютеров и смартфонов, которые предлагают расширить возможности ВК. В них могут содержаться вирусы и шпионские скрипты.

• ВКонтакте официально не рекомендует вступать в группы, которые предлагают что-либо бесплатно или по заниженной цене. Такие группы могут задействовать спам-переходы по расположенным в них ссылках, что приводит к краже паролей пользователей.

Как защитить аккаунт в Инстаграм

Рассмотрим специфические особенности защиты Инстаграма.

• Не рекомендуем пользоваться сайтами, которые позволяют работать с соц сетью через браузер. Такие сервисы помогают сохранять фотографии или автоматически комментировать и репостить новости. К услугам таких сайтов прибегают, когда хотят максимально быстро и не прилагая усилий раскрутить свой аккаунт. Да, это удобно, однако стоит ли доверять тому или иному сервису? Полученная от Вас информация вполне может быть использована в корыстных и мошеннических целях. В общем, советуем сто раз подумать, стоит ли отдавать учетные данные сторонним разработчикам.

• Сделайте свой профиль закрытым. Таким образом, Вы избавитесь от утечки информации.

• Не подписывайтесь на незнакомые аккаунты, особенно на пользователей, которые в подписи к профилю публикуют адреса неизвестных Вам сайтов. Вполне возможно, это ссылка-вирус.

Как защитить почту (защита Гугл аккаунта)

• Настройте и используйте в Гугл-почте двухфакторную аутентификацию (читайте статью в нашем блоге на эту тему);

• Не открывайте письма с подозрительной темой;

• Если в письмах от ваших друзей и коллег Вы видите подозрительные ссылки, не переходите по ним!

При соблюдении перечисленных выше правил Вы можете быть уверены, что ваши аккаунты полностью защищены от взлома.