История о взломе самой популярной игры рунета 2000-х годов — “Бойцовский клуб”.
Историю мне рассказал один мой знакомый, который хотел остаться инкогнито. Хотя сейчас вряд ли кто-то сказал бы ему за это хоть одно плохое слово)
Для простоты изложения далее буду рассказывать от первого лица.
В детсвте я очень увликался компьютерными играми, впринципе как и любой ребенок, но на этом тяга к комьютеру у меня никогда не останавливалась и мне всегда было интересно залезть скажем так “под капот”. Сначала это выливалось в какието простые манипуляции с HEX редактором, но позже все вошло в более серьезное русло, я увлекся асемблером, написанием патчей и модингом игр. Soft Ice был моим лучшим другом, и не раз помогал мне творить чудеса.
Пару раз даже удавалось оптимизировать рендер игр потому, что игра на моем компе просто не тянула, а играть хотелось)
Летом 2002 или 2003, честно пью таблетки для памяти, но не помогают, я окунулся с головой в свою первую, онлайн игру — “Бойцовский клуб”. И она меня поработила, пусть и казалось бы простая, но это была первая игра где я мог взаимодейтвовать с огромным количеством реальных, живых людей, а не компьютерных алгоритмов. Это было волнующе интересно, поначалу как игра, а позже конечно же как интересная цель для взлома.
На тот момент я уже прошемойл довольно длинный путь в хакинге всего чего только можно. Не скажу что я был каким то выдающимся в этом плане, типа второго Кевина Митника, или хотя бы сына подруги сестры его матери, обычный парнишка любящий колупаться во всяком. Но у меня всегда выходило находить очень элегантные и простые решения, чем заслужил уважение коллег рангом покруче.
Теперь моей целью стала эта игра.
Поначалу я думал пройтись по стандартному пути:
Поиск серверов -> скан портов и сервисов -> поиск уязвимостей в открытых источниках -> поиск уязвимостей среди комьюнити и коллег -> фазинг -> боль и страдания.
Но в который раз подсознание сказало “Ну это уже как работа, где же тут вызов и интересности?” и я решил зайти через социальную инженерию.
Для начала решил использовать фишинговый сайт, который от лени, создал на бесплатном хостинге с урлом вообще не похожим на combats.ru. Но подсознание говорило — “Расслабся, это прокатит”, хотя умом понимал, что это крайне непрофессионально. Вообщем сайт был один в один как оригинальный и предлагал посетителю окунуться в чудесный мир лотерей, где можно было выиграть не только обычные предметы и деньги, но и что намного круче — арты. Сразу кажу что арты в игре стоили очень много, и даже имея деньги не все можно было просто так купить, все шло через админов и их личное желание что то продать. А поэтому возможность получить такое, была сродни полета на Марс.
Система работала очень просто, человек заходил на сайт, для авторизации ему необходимо было ввести свой логин и пароль, разумеется от combats.ru, после чего происходил розыгрыш и человек мог что то выиграть, передача предмета значилась в разрезе 3х дней.
Я был не очень жаден, а посему у меня выигрывали все, в некотором роде. Когда же человек вводил данные, то они отправлялись мне на почту, ну что бы быстро и удобно все получить. На тот момент мне это казалось хорошей идеей.. как же я заблуждался)
Вообщем фишинговый сайт был готов и настало время зазывать туда людей. Я прокрутил много идей и подходов как лучше это преподнести публике, но в конечном итоге решил остановиться на одном из смертных грехов — жадности. Очень уж хотелось провести, скажем так, социальный эксперимент.
Хочу тут отметить что взлом никогда не интересовал меня как средство заработка, хотя я этим и не гнушался. Я просто занимался этим потому что мне было интересно, потому что это был некий вызов и возможность проверить реальность этого мира на прочность.
Я создал несколько левых акаунтов и в разных локациях начал зазывать людей, что то в стиле “В честь дня рождения одного из разработчиков игры, БК проводит лотерею среди участников с возможностью выиграть даже арт. Не пропустите шанс, скорее регтесь. Я вот выиграл пару кредитов только что. [ссылка на сайт]”
В это же время зазвонил телефон, на проводе был один из моих друзей, который звал меня играть в футбол. Поэтому я успел закинуть всего буквальнно пару подобных меседжей, выключил комп и побежал на улицу.
Когда я вернулся вечером, первым делом я проверил почту и вот тут то я понял насколько плохой идеей было слать данные на имейл.
Когда я запустил имейл клиент и получил количество писем ожидающих скачивания, то немножко приофигел. В поле значилось 70К+ писем. А я вам скажу интернет тогда был не то что бы быстрый. У меня стоял модем на 36к бод и что бы выкачать банально весь список пришлось подождать довольно прилично. Пока все это качалось, я быстро обновил скрип что бы он писал ф файл на сервере.
Поначалу я думал, что мою идею все быстро раскусили и баналньо понаписывали туда чипухи. Но нет, я руками проверил с десятка два акаунтов и все были валидны.
В этот же день я написал еще парочку пауков которые проверяли введенные данные, а так же записывали статы героев и их инвентарь. Чуть позже эти скрипты были улучшены для возможности масс контроля за акаунтами(пересылка инвентаря, кредитов, написание месседжей в чаты)
После того каак получив контроль над многими высокоранговыми героями, все пошло еще быстрей. Так как зазывалами теперь работали высокоуровневые персонажи и участники кланов. За буквально неделю было взломано несколько сот тысяч аков. Что по сути просто нереальное количество.
Чуть позже администрация БК начала придумывать доп методы защиты. Первым стал — ввод 4х значного пинкода, который к сожалению имел небольшую уязвимость и посему лекго обходился брутфорсом буквально за минуту.
Так как мне было интересно поведение людей, чуть позже я сделал еще пару версий фишинговых сайтов: с интернет магазином, и новой меголокацией лишь для избранных. Но они как и ожидалось не были столько популярными.
В целом этот эксперимент подтвердли мои ожидания относительно общества, но скажем так опустил его дно еще ниже. Увы манипулировать большим числом людей используя их низвенные инстинкты очень просто. Что впринципе вы и сами можете лицезреть сегодня в том что используют политики всех держав.
Кстати благодаря мне параноя разработчиков относительно безопасности дошла до какогото нереального пика. И через пол года когда я ради интереса зашел в игру, там уже была линия наверно из 5–8 уровней защиты, что выглядело достаточно смешно.
Кстати это был последний раз когда я занимался какимто глоабльным взломом, дальше моя дорога пошла в немного другом русле. Хотя не скрою, что иногда вечерами берет ностальгия за теми временами, была в них какаято магия.. ощущение что все в жизни возможно. Этого сейчас очень нехватает.
Надеюсь история вам понравилась. Но главное, что хочу подчеркнуть уже я, кто тоже не мало времени посвятил соц. инженерии — умение ломать систему через психологию поведения людей, это намного более мощный и страшный инструмент, чем любые трояны и вирусы. Самые защищенные замки легко падут, если внутри них окажеться хотя бы один человек которым можно управлять из вне.
Да и если вы посмотрите историю самых крупных взломов 21столетия, то заметите что большинство из них были осуществлены через использование соц. инеженерии.
В качестве благодарности за эту историю, буду признателен за вашу донат в фонд помощи бездомным животным Украины
https://uah.fund/donate
