Durant un període substancial de temps, diversos enganys camuflats sota la forma d’atractives ofertes han operat obertament dins dels àmbits de jocs populars com ara Roblox i Fortnite.

Recentment, s’ha revelat un complex esquema fraudulent que ha provocat una onada de pertorbació dins el panorama de la seguretat virtual, exposant la vulnerabilitat de diverses pàgines web que s’havien presentat amb aparença genuïna. No obstant això, el matís que contribueix a intensificar la preocupació en aquesta situació és el fet que els individus més afectats són els menors.

Durant un temps considerable, hi ha hagut una intricada xarxa d’enganys que prenien la forma d’irresistibles ofertes dins el món de jocs en línia ben populars com serien Roblox i Fortnite, instrumentalitzant la sostracció de dades personals i el fet de persuadir els joves perquè descarreguin aplicacions amb finalitats nocives. Fruit d’una indagació minuciosa, s’han aclarit els detalls sobre com aquest enrevessat esquema opera i com els jugadors més joves han caigut en aquests paranys.

Estafa en pàgines de jocs

L’estudi desenvolupat per l’investigador Zach Edwards, que ostenta el càrrec de Director Principal d’Insights de Threats a Human Security, i que va ser publicat al mitjà WIRED, ha contribuït a il·luminar un fenomen preocupant que ha prosperat en línia al llarg d’un temps considerable. Milers de pàgines web, incloent-hi agències governamentals i institucions educatives respectades, han estat compromeses per una sèrie d’atacs alarmants. Aquesta onada aprofita les vulnerabilitats presents en aquestes pàgines per carregar fitxers PDF que presenten mots clau atractius pels usuaris.

Al llarg de diversos anys, l’investigador de seguretat ha mantingut una vigilància constant sobre aquests actes de pirateria. Edwards posa de manifest que aquesta situació pot estar vinculada a les activitats d’usuaris associats amb una companyia publicitària. Aquesta empresa registrada als Estats Units exerceix de manera que facilita la direcció de trànsit web cap a diverses empreses anunciants en línia, permetent als individus inscriure’s i utilitzar els seus sistemes. No obstant això, Edwards ha desvelat que desenes de dominis .gov, .org i .edu han estat víctimes de diverses infiltracions.

Quant als enganys en pàgines web de jocs, quan un enllaç és seguit per descarregar un fitxer PDF que suposadament proporcionarà moneda de joc gratuïta, la víctima és redirigida cap a una altra pàgina web on se li requereix el seu nom d’usuari de joc i el sistema operatiu que fa servir, així com la quantitat de monedes que desitja obtenir gratuïtament. Així, un missatge emergent es presenta amb la inscripció “Pas Final!”. Aquesta “pàgina de bloqueig” sosté que la moneda de joc gratuïta es desbloquejarà una vegada s’inscrigui en un altre servei, que involucra la divulgació de detalls personals o la descàrrega d’una aplicació.

Investigadors en matèria d’estafes publicitàries destaquen que, tot i que aquesta mena d’estafes ha estat present durant un temps, l’abordatge actual es diferencia pel seu vincle amb la companyia publicitària CPABuild i els seus afiliats. Edwards assenyala que tots els dominis web compromesos que allotgen els fitxers PDF estan lligats a servidors controlats per CPABuild, els quals serveixen per a la conducció de campanyes publicitàries.

CPABuild, amb base a Nevada i en funcionament des del 2016, s’autodenomina una “xarxa de contingut bloquejador”, oferint missions per obtenir guanys mitjançant la divulgació de dades personals. Aquests afiliats, coneguts com a “usuaris de CPABuild”, motiven els individus a portar a terme aquestes missions, sovint a través de l’ús de correu brossa en comentaris de YouTube o mitjançant finestres emergents afegides a enllaços en els fitxers PDF. Això es defineix com a “cost per acció” (CPA) pels anunciants. El lloc web de CPABuild no proveeix informació sobre els individus responsables i assegura mantenir mesures antifrau i prohibicions d’activitats il·lícites dins els seus termes de servei.

El lloc web declara haver distribuït més de 40 milions de dòlars entre els editors i presenta milers de plantilles i pàgines de destinació. Dins CPABuild, es distingeixen diverses categories d’usuaris. L’estructura d’afiliats del lloc web es detalla en una imatge en la seva pàgina d’inici. Els membres poden ser categoritzats com a gestors, dimonis, diables, mags, mestres i cavallers.

El Rostre Tenebrós de la Publicitat Virtual

Augustine Fou, un investigador independent especialitzat en ciberseguretat i estafes publicitàries, manifesta que el frau CPA, que inclou el cost per instal·lació d’aplicacions, és àmpliament present. Fou va examinar un resum dels descobriments d’Edwards i assenyala que els experts com els identificats en aquesta investigació s’especialitzen en una categoria concreta i esdevenen líders en una modalitat específica d’engany.

Centenars de bloquejadors de contingut alineats amb CPABuild han estat capturats per l’Internet Archive en els darrers set anys. Una pàgina de bloqueig titulada “Targetes de Regal d’Amazon” ofereix als individus l’oportunitat d’omplir una enquesta per tal de guanyar 5.000 dòlars en efectiu al moment o participar per aconseguir 25.000 dòlars.

De manera paral·lela, les empreses de jocs subratllen que els exemples de les pàgines web que acullen les pàgines de bloqueig no són legítimes. Aquestes situacions són enganys, adverteix Jake Jones, Director Sènior de Comunicacions d’Epic Games, la companyia darrere de Fortnite. A més, els jugadors mai han estat capaços de vendre, regalar o intercanviar V-Bucks dins del joc amb altres jugadors o de vendre articles virtuals entre ells. Similarment, James Kay, portaveu de Roblox, aclareix que està prohibit utilitzar serveis de tercers per comprar, vendre, intercanviar o regalar Robux i que els individus han de ser cautelosos davant les ofertes en llocs web que prometen moneda de joc gratuïta o altres articles.

La investigació d’Edwards reitera la importància de l’educació en línia i la necessitat d’una cooperació més estreta entre les autoritats, les empreses i els usuaris per abordar aquestes estafes. Amb milers de pàgines web compromeses i la seguretat dels menors en perill, és imperatiu que es prenguin mesures concretes per protegir la societat d’aquestes amenaces digitals.

Dins d’un món cada vegada més connectat, esdevé crític que tothom estigui adequadament informat i vigilant davant de la creixent sofisticació dels estafadors en línia. La gran incògnita que es presenta és si estem preparats per afrontar aquesta lluita i protegir els nostres joves i infants de les urpes d’aquests depredadors digitals.