Ditt eget nöje – andras missnöje”

Online-spel på arbetsplatsen:
”Ditt eget nöje – andras missnöje”
Den webbaserade generationen har blivit alltmer beroende av teknik för vardagliga aktiviteter.
Molntjänster, sociala nätverk, webbläsartillägg/plug-ins och onlinespel växer i popularitet och ersätter
därmed vanliga skrivbordsapplikationer.1 Detta har i sin tur öppnat upp dörrarna för cyberkriminalitet
då dessa grupper nu har fått nya kanaler att sprida malware och implementera webbläsarbaserade
attacker genom. Bland annat handlar det om JavaScript-injektioner för att stjäla användaruppgifter
och värdefull information. Oron över säkerheten för personliga uppgifter och onlineprofiler växer,
särskilt när skadliga webbläsartillägg är på väg att bli en av de mest komplexa hoten att både upptäcka
och förhindra.
Spelar dina användare på jobbet eller kanske surfar de på suspekta webbsidor? Då finns det risk för att
de någon gång blivit utsatta för allt från keyloggers till annonsinjektioner, phishing-försök och skadlig
kod i installerade webbläsartillägg.
"Online-Gaming" har blivit en stor industri, med en stadigt växande marknad och ekonomi som
involverar företag som investerar stora belopp för att utveckla nästa stora "hit". Det drivs också av en
enorm marknad av spelare som är villiga att spendera seriösa mängder pengar, inte bara för att köpa
nya spel och plattformar, utan också för att få ett försprång genom spelobjekt och "in-game" valuta.2
År 2017 förväntas den globala spelmarknaden dra in makalösa 109 miljarder dollar, varav mobila
enheter står för hela 42 % av intäkterna. Detta är en ökning med 8 respektive 19 procent från
föregående år. Den främsta källan är mikrotransaktioner, köp av fördelar i spelet, som uppges till 8090 % av spelutvecklarnas intäkter. Vid 2020 beräknas intäkterna från mobilspel utgöra minst hälften
av den totala marknaden och spelindustrin. 3
Bedragarna, som bland annat stjäl kontouppgifter och annan värdefull information, använder
försäljningen av både spelkonton, objekt och virtuell valuta som ett sätt att tvätta pengar från andra
brottsliga verksamheter. När en transaktion mellan spelare och säljare görs via en tredjeparts
webbplats omvandlas intäkterna ofta till andra former av virtuell valuta - inklusive Bitcoin - för att hålla
uppmärksamheten borta från polismyndigheten. Cyberkriminella kan sedan återinvestera pengarna i
sin verksamhet för andra brott, casha ut eller använda den för att köpa mer virtuell valuta för senare
försäljning.
Ett återupplivat fenomen och hot, nu när nya distributionsmodeller för skadlig kod påfunnits, är ”Manin-the-Browser”-attacker (MitB). Dessa fungerar på så vis att de replikerar autentiska webbsidor och
får användare att skriva in sina uppgifter på vad de tror är exempelvis sin internetbank eller Facebook.
Eko är ett nytt exempel på en MitB-attack som skapade stora rubriker. Upptäckt på Facebook Ryssland
i början av 2015, spred den skadlig kod via direktmeddelanden och bluffvideoposts. Offren skickades
länkar till phishing-webbplatser som då replikerade Facebook (även YouTube) och uppmanade
användarna att installera tillägg för videospelaren, för att kunna se filmklippet, som naturligtvis
innehöll skadlig kod.
Svårigheten med att skydda sig mot MitB-attacker beror på platsen där den skadliga koden lagras, ofta
på en avlägsen server, vilket innebär att en infekterad PC inte behöver innehålla någon skadlig kod
över huvud taget. Det är också väldigt svårt att urskilja skadliga skript från nödvändig och autentisk
kod. Från användarens perspektiv kan ett skadligt webbläsartillägg se riktigt ut, vara användbart och
även funktionellt bete sig som det skall, för att sedan efter en lång tid börja göra skada.
Webbläsartillägg lever också bara i webbläsaren i sig och lämnar inga spår i kritiska systemområden,
och de har inte några utmärkande indikatorer för att ha äventyrat systemet och dess filer. Detta gör
dem svåra för olika antivirusprodukter att upptäcka.
Hur skyddar man då sig? Spel är, tror det eller ej, inte bara för nördar längre. Med tillgängligheten som
finns i dag – i och med de olika plattformar som erbjuds – har det möjliggjort att gammal som ung,
kontorschef till snickare har åtkomst. Detta främst via smartphones. Därav behöver vi vara medvetna
om integritetsriskerna som finns, speciellt när majoriteten av spelen har antingen en onlinekomponent eller en affärsmodell som bygger på "pay-as-you-play" (mikrotransaktioner). För att
säkerställa dataintegritet ska du tänka på att minimera de konto-/personuppgifter som finns möjliga
att lämna. Denna information blir för bedragarna i slutändan mer värdefull än själva spelkontot eller
"in-game"-objekten därigenom eftersom det antingen kan säljas vidare dyrt på cyberkriminella svarta
marknader eller användas för att ytterligare invadera offrets integritet genom att få tillgång till e-post
och andra onlinekonton. En bra idé kan vara att skapa ett helt nytt e-postkonto där du registrerar allt
som har med spel och exempelvis nyhetsbrev att göra. På så vis både sållar du bort "skräp" och slipper
lämna ut en e-postadress som innehåller mer viktig information. Kom ihåg att inte koppla ickearbetsrelaterade saker till din företagsadress, detta då din privata identitet och den för ditt arbete inte
skall blandas med varandra.
Gång på gång när det kommer till IT-säkerhet tycks nyckelordet vara medvetenhet, så även här.
“Even with all the solutions in the world you still need to create awareness among the crowd." 4
Vad vi som IT-leverantör erbjuder är utbildning för användarna om de senaste och mest vanliga
hoten. Vi erbjuder även tjänster där vi sätter upp skydd i era miljöer såsom antivirus, webbläsarskydd
och anti-spam. Det är ytterst viktigt med rutiner för hur vi arbetar mot klienter/servrar, för att
säkerställa en bra identitetshantering. Exempel på genomtänkt arbetsmetod kan vara att efterleva en
"least privileges"-policy. Som IT-ansvarig kan och bör du i samband med din HR-avdelning även sätta
upp policies för den dagen det inträffar en incident. Vad gäller på respektive arbetsplats och vilka
konsekvenser leder det till för både organisationen och den enskilda användaren. För att den över
huvud taget skall finnas och ha funktion måste man först av allt ta fram policies för de anställda och
hur de ska och får bruka sina IT-arbetsverktyg. Detta innefattar både datorer och mobiltelefoner samt
program och system på respektive. Är det OK att ladda hem/fildela på arbetsdatorn, får man surfa till
vilken hemsida man vill? och så vidare.
Alla inblandade måste arbeta tillsammans över leden för att motverka en sådan sak som exempelvis
webbläsarattacker. En detekterings- och skyddspolicy från både serversidan (via webbtjänster) och
klientsidan (från webbläsare och AV-leverantörer) kan ge ett överlappande skydd för att stoppa
exempelvis MitB-attacker. På kundsidan kan användarna stärka onlinesäkerheten genom att använda
webbläsare med ytterligare säkerhetsmekanismer (Internet Explorers "Enhanced Protected Mode",
AD-block, trusted sites, avaktivera ActiveX/Javascript) och genom att installera antivirusprogram (ofta
idag med Web Browsing Protection). Även om webbläsare har sina egna skyddsmekanismer kommer
en kombination av antivirusprogram, skydd på server- och klientsidan och eventuell AI-teknik
(maskinlärande) att bidra till att bekämpa kapning av innehåll och skadliga webbtillägg. Inte att
förglömma, det kanske viktigaste av allt, är att hålla sin programvara uppdaterad.
Det japanska mjukvaruföretaget Trend Micro, specialiserat på antivirusprogram, säger att om spelare
använder ”Real Money Trading” (RMT) för att få en orättvis fördel kan detta leda till att spelutvecklaren
tar skada då andra spelare ger upp sitt spelande och därmed en stor del av den förstnämndes inkomst.
Företaget menar också på att tvångsarbete nu är ett vanligt tema, med så kallade ”sweatshops” där
man får de anställda att arbeta (spela) långa timmar för att tjäna virtuella pengar och spelobjekt som
ska vidareförsäljas online. Detta gör de med låg lön - eller ingen alls – och utsätts även för dåliga
arbetsförhållanden. År 2005 uppskattades att minst 100 000 kinesiska spelare arbetade i dessa
anläggningar och år 2009 var denna siffra uppe i en miljon människor. 5, 6
Det är upp till spelutvecklare och leverantörer att hålla kontosäkerheten så tight och sömlös som
möjligt – men det vore omöjligt att helt förhindra handel med spelvalutor på nätet. För att spelarna
ska kunna hålla sina konton och pengar säkra och borta från exploatering, behöver de i stället nyttja
bättre personlig säkerhet och vara försiktig med online-köp som verkar för bra för att vara sanna. Ibid
"I grundläggande mening är det inte olagligt att köpa och sälja online-spelvalutor. Spelarna bör dock
vara försiktiga när de deltar i ett sådant utbyte, eftersom de trots allt kan komma att finansiera
cyberkriminella handlingar som får förödande implikationer i den verkliga världen." Ibid
Källor
1 Information
Age magazine. Browser-based malware: evolution and prevention (30 dec 2016). http://www.information-age.com/browser-
based-malware-evolution-prevention-123463799/ (Hämtad 2017-05-02)
2 Trend
Micro. Data Privacy and Online Gaming: Why Gamers Make for Ideal Targets (25 okt 2016).
https://www.trendmicro.com/vinfo/us/security/news/online-privacy/data-privacy-and-online-gaming-why-gamers-make-for-ideal-targets
(Hämtad 2017-05-02)
3
The Global Games Market Will Reach $108.9 Billion in 2017 With Mobile Taking 42% (20 apr 2017)
https://newzoo.com/insights/articles/the-global-games-market-will-reach-108-9-billion-in-2017-with-mobile-taking-42/ (Hämtad 2017-0509)
4
TechCrunch. The gaming industry can become the next big target of cybercrime (8 jun 2016). https://techcrunch.com/2016/06/08/the-
gaming-industry-can-become-the-next-big-target-of-cybercrime/ (Hämtad 2017-05-02)
5
ZDNet. Business is booming: How online gaming fuels cybercrime (11 okt 2016). http://www.zdnet.com/article/business-is-booming-
how-online-gaming-fuels-cybercrime/ (Hämtad 2017-05-02)
6 Dyer-Witheford,
Nick (2009). Games of Empire: Global Capitalism and Video Games. Minneapolis: University of Minnesota Press. p. 142.
ISBN 9780816666102 – via ProQuest.