Реальные последствия кражи виртуальных покупок
Недавнее известие о том, что Activision Blizzard приобрела студию King Digital Entertainment, создавшую игру Candy Crush, за ошеломляющие $5.9 миллиардов, подтверждает многообещающее (и прибыльное) будущее мобильных игр.
В 2015 году, по предварительным оценкам, глобальный игровой рынок достиг $91.5 миллиардов. В то время как ПК и консольные игры всё ещё доминируют, мобильные игры представляют собой самый быстрорастущий сегмент. По сравнению с предыдущим годом он увеличился на 21% благодаря проникновению смартфонов на развивающиеся рынки и успешной «фримиум» модели free-to-play игр со встроенными покупками. Отчеты показывают, что пользователи охотно платят за VIP статус, виртуальные предметы для ускорения игры или даже выигрыша, со средней тратой в $50 с пользователя за игру.
С таким подъемом рынка неудивительно, что онлайн-преступники тоже проникли в экосистему и создали процветающий подпольный рынок внутриигровых виртуальных товаров. Как им это удается? Ниже мы привели несколько техник злоумышленников.
Атаки Сибиллы через прокси-серверы
Атака Сибиллы — сетевая атака, при которой один из узлов может иметь несколько идентификаторов, тем самым нарушая работу системы. Прокси-серверы, предоставляемые облачными сервисами, позволяют онлайн преступникам значительно увеличить свои операции и обойти reputation-based системы обнаружения. В контексте мобильного игрового мошенничества они также позволяют злоумышленникам использовать несколько поддельных идентификационных номеров, симулируя присутствие в нескольких географических местоположениях в зависимости от того, где расположены серверы.
Эти поддельные идентификационные номера используются для извлечения выгоды из рекламных акций в играх с редкими или ограниченными виртуальными товарами, например, теми, которые доступны только в определенных регионах или в ограниченном суточном количестве.
Они также используются для арбитражных операций с виртуальной валютой: симулируя присутствие в разных странах, взломщик покупает виртуальные товары в одном месте (с более слабой валютой) и продает в другом (с более сильной валютой) и присваивает себе разницу в цене.
Брокеры встроенных покупок
Некоторые мобильные игры не позволяют производить обмен виртуальными предметами между пользователями. В этом случае товары не могут быть перепроданы, как в примере выше.
Не терпя поражений, онлайн мошенники применяют другой подход к таким типам игр и рынкам виртуальных товаров. Они объявляют о таких соблазнительных скидках, 25% или больше, что игроки передадут свои реквизиты доступа кому-то другому для совершения покупок виртуальных товаров на таких условиях. Продавцы даже напомнят вам поменять свой пароль после завершения транзакции, чтобы «избежать нежелательных проблем».
Таблица показывает пример такой атаки в действии. Каждый ряд соответствует событию, записанному мобильной игрой. Мы видим, что злоумышленник многократно заходит под разными ID для совершения покупок, не производя других действий, свидетельствующих о реальном ходе игры. Фактически, каждый пользователь заходит максимум на пару минут — пока совершаются покупки.
Поддельные или украденные кредитные карты
Никто бы не стал так рисковать в этом бизнесе, если бы выгода в цене не была такой заманчивой, так каким образом подпольный рынок может предложить такие огромные скидки? Вернемся к источнику финансовых махинаций и головной боли недавних лет — подделанным или украденным (из-за утечек данных) кредитным картами.
В отличие от магазинных покупок, которые могут быть защищены EMV технологией (международный стандарт для операций по банковским картам с чипом), разработчики мобильных игр обладают очень ограниченным набором методов для подтверждения внутриигровых транзакций без физического наличия платежной карты. Существующие подходы полагаются на системы на основе продукционных правил или модели контролируемого обучения, которые могут реагировать только на известные схемы атак.
Еще больше всё усложняет то, что промежуточным звеном во внутриигровых транзакциях обычно выступают мобильные платежные платформы, такие как Apple Pay или Android Pay, так что приложения не имеют доступа к деталям транзакций для того, чтобы отличить легальные покупки от нелегальных.
Реальная цена внутриигрового мошенничества
Почему всё это имеет значение для мобильных игр? Да, виртуальные предметы на самом деле не «стоят» ничего, но фактически это означает, что существует огромное количество денег, потерянных из-за нереализованных доходов.
По имеющимся оценкам, на каждый проданный легальный виртуальный предмет приходится 7,5 виртуальных предметов, потерянных из-за мошенничества.
Это число гораздо выше в некоторых странах: в Китае, например, на одну легальную загрузку предмета приходится 273 мошеннических. Это значит, что 50-99% всех покупок виртуальных товаров являются нелегальными.
Но, возможно, самая большая проблема для игр — это негативное воздействие на пользовательский опыт. Когда мошеннические внутриигровые покупки портят экономику игры и позволяют некоторым игрокам использовать несправедливое преимущество, это портит игру другим пользователям. С такой конкуренцией игры не могут позволить себе терять пользователей.
Это лишь небольшая часть мошеннических техник, встречающихся в мобильных играх, и полный список не только длиннее, он еще и постоянно обновляется, чтобы избежать существующих способов их выявления. Поскольку мобильные приложения всё больше и больше полагаются на встроенные «виртуальные» покупки, они должны быть готовы дать отпор мошенникам. Потеря виртуальных предметов имеет огромное негативное влияние, как и на рост пользователей, так и на прибыль компании.
Unilead Network — мобильная рекламная сеть с мировым охватом, специализирующаяся на рекламе мобильных приложений с post install optimization (PIO).