Durante las últimas semanas fueron secuestradas cerca de 50 cuentas de jugadores de alto perfil de FIFA 22, del popular juego de fútbol. Según aseguró la compañía EA en un comunicado, la investigación que vienen realizando habría demostrado que los ciberdelincuentes utilizaron ingeniería social para explotar el error humano del equipo de servicio al cliente y de esta manera lograron evadir la autenticación en dos pasos para acceder a las cuentas comprometidas.

Según informó el medio británico Mirror la semana pasada, varios streamers conocidos habían sido víctimas de esta serie de ataques que buscaban secuestrar cuentas de los jugadores de FIFA 22, como Jamie Bateson (AKA Bateson87), NickRTFM, Trymacs, TisiSchubecH y FUT FG.

Los actores maliciosos detrás de estos ataques han estado obteniendo los “Gamertag” o ID de Playstation, que es el nombre/identificador que cada usuario tiene en el juego, y los utilizaban para contactarse con el área de soporte de EA a través de un chat para solicitar ayuda utilizando la falsa excusa de que habían sido bloqueados de sus cuentas, aseguró el medio. De esta manera, lo que al parecer ocurrió es que el atacante proporcionó el Gamertag de la víctima haciéndose pasar por ella y solicitaban al equipo de soporte que querían modificar la dirección de correo asociada a la cuenta.

Al parecer los usuarios no necesitaban iniciar sesión en una cuenta para escribir vía chat al área de soporte y con el nombre y la dirección de correo del usuario legítimo era suficiente.

Por su parte, desde EA comunicaron que están trabajando para identificar los verdaderos propietarios de las cuentas robadas para devolver el acceso con el contenido que tenían dentro de las cuentas. Asimismo, desde la compañía anunciaron también medidas para reducir las posibilidades de que vuelva a ocurrir y establecieron que:

  • Todos los agentes e individuos de EA que brindan asistencia para servicios vinculados a las cuentas de EA recibirán una nueva capacitación con especial foco sobre las prácticas recomendadas para gestionar la seguridad de las cuentas y sobre las técnicas de phishing utilizadas en esta oportunidad.
  • Implementarán pasos adicionales para el proceso de verificación de cuentas a los propietarios de estas. Por ejemplo, será requisito una aprobación administrativa para solicitudes de cambio de la dirección de correo.
  • El software de experiencia de usuario de la compañía será actualizado para identificar mejor cualquier actividad sospechosa, advertir sobre cuentas en riesgo, y limitar las posibilidades de error humano durante el proceso de actualización de una cuenta.

Si bien estas modificaciones podrán repercutir en una mayor lentitud de algunos procesos, desde EA consideran que son pasos necesarios para mejorar la protección de las cuentas de los clientes.