Si presume che i ladri di carte di credito utilizzino giochi mobile come Clash of Clans, Clash Royale e Marvel Contest of Champions (sviluppati rispettivamente da Supercell e Kabam) per riciclare centinaia o migliaia di dollari. Nel caso di Clash of Clans e Clash Royale, i giocatori possono spendere soldi veri per acquistare valuta di gioco premium come oro o gemme. I giocatori possono poi spendere questa valuta premium per acquistare vantaggi, ma la valuta apparentemente serve anche come modo per riciclare denaro.
Secondo un rapporto pubblicato dalla società di cybersecurity tedesca Kromtech, i ladri hanno utilizzato 20.000 carte di credito rubate per fare acquisti su Clash of Clans, Clash Royale e Marvel Contest of Champions rivendendo gli account a terze parti e ricevendo denaro in cambio.
Questo lavaggio è possibile grazie alla possibilità di creare automaticamente account su larga scala. Ad esempio, Apple richiede solo un indirizzo e-mail valido, password, data di nascita e tre domande di sicurezza per creare un ID Apple. Gli account di posta elettronica sono facilissimi da creare. I ladri sarebbero stati in grado di automatizzare il processo di creazione dell’account, consentendo loro di creare un gran numero di account, con la conseguente creazione di uno strumento automatizzato di riciclaggio di denaro per i ladri di carte di credito.
L’indagine di Kromtech è iniziata con il software di creazione di database MongoDB. Configurazioni scadenti hanno consentito agli hacker di accedere ai dati da decine di migliaia di database. Kromtech è venuto a conoscenza di questi ladri di Clash of Clans dopo aver analizzato i campioni di un database, che conteneva oltre centomila carte di credito.
Lo strumento che abbiamo trovato e i suoi utenti attualmente lavorano con paesi come l’Arabia Saudita, l’India, l’Indonesia, il Kuwait e la Mauritania. Non sappiamo se questo dipenda semplicemente dal fatto che lo strumento e la pagina Facebook sono nuovi o se operare attraverso questi paesi fornisce qualche tipo di ulteriore vantaggio ai ladri.
Sebbene non sembrino esserci soluzioni immediate, Kromtech sollecita gli sviluppatori e i fornitori di servizi a proteggere i loro processi di creazione degli account da parte di strumenti automatici e a controllare le loro politiche quando si tratta di rintracciare e perseguire ladri.
