FR EN
FR EN
Naviguer dans les forums 
Trackers Ankama

Hack/Scam/Physhing/Arnaque

Par SanguinaireduChaos 19 Juillet 2019 - 02:54:43
(!!!LE CONSTATS!!!)
Bonsoir à tous, en ce moment les arnaques ne cesse pas c'est de pire en pire...
Les arnaqueurs inoves a chaque maj profitant de l'incrédulité des nouveaux venu, des plus jeunes ou simplement des personnes fesant facilement confiance...

Voici le motus-opérandis d'un des arnaqueurs en ce jour...
Un de mes membres c'est fait hack entre 11h et 14h... il n'est pas encore au courant...
Le hackeurs une fois sur son compte a vider tranquillement le compte puis commencer a tenter d'arnaquer toute sa friend list/guilde/alliance/ puis mp aléatoirement au zaap...

Le gars te ris au nez avec des, de toute façon ankama ne fera rien...

et le pire il a raison...

Message posté a différente heure de la journée aucun modo ne bouge mais sont actifs...
Aucune réponse via mp enfin sauf une (Contacter le support je ne peux rien pour vous)

Le gars continue tranquille de vider le compte de 17h jusque 2heure du matin tout en continuant les tentatives d'arnaque... j'ai sauvé un autre joueurs in-extrémis...

Le problème? des failles Android/APK exploité par cette individu...

Il vous contact avec un sujet en lien avec une pseudo maj (Vulkania/etc...) vous demande de faire une recherche qui vous mene a un site héberger sur des serveurs prétendant l'anonymat total...
Une fois sur le site vous recevez pratiquement dans l'instant une connection entrante (Injection) visant a inserer un malware dans votre périphérique... celui-ci récupère les données du cache de votre applications/voir la copie intégralement...
L'utilisateur n'ayant encoder aucun mdp ou compte , voir meme sous authentificator ne s'inquiete pas... le mec vous surveille tranquille et lors de votre déconnection passe a l'acte...

------------------------------------------------------------------------------------------------------------
(!!!LA SUGGESTIONS!!!)
Bref...Vu que les modérateurs ne sont pas apte a réagir instantanément a priori...
et qu'ont nous renvoie vers un support qui met entre 24 et 72h a répondre

Je vous propose ici une solution d'urgence pouvant limité la casse et le nombre de victime...
Crée une page sur le site du support dans le quel il sera possible d'entrer le mdp et le nom de compte a 3 reprises...Le mots de passe ayant plus de 24h d'ancienneté dans le cas d'un vol avec changement de mdp
Une fois ceci fait le compte serait automatiquement bloqué le temps d'une interventions support...
------------------------------------------------------------------------------------------------------------
(!!!LA CONCLUSION!!!)
Pour l'heure tout est conçu pour faciliter la tache a ce type d'arnaque...
Le mec qui vous vole votre compte Dofus peux changer l'e-mail instant... sans demande de confirmation sur votre e-mail... et sans notifications... a partir de la si vous avez pas certifier votre compte le mec a juste a le certifier... et enjoy... Si vous n'avez effectuer aucune transaction CB ou autre pour prouver que le compte vous appartient vraiment vous pourrez simplement l'oublier...


Je tiens a souligner le fait que les personnes fesant partit du staff que j'ai pu contacter ont bien vu le message...
on presque démarrer une discutions avant de s'abstenir (Discord:[*******] est entrain d'ecrire)
Je trouve cela déplorable que ce genre de situation arrive en attendant j'ai un joueurs de ma guilde qui joue depuis 2016 pour qui l'aventure se terminera probablement demain lorsqu'il s'apercevra de la longue liste de message reçue sur son discord... et plusieurs autre victimes parmis sa friend list + des joueurs certainement du zaap...

Alors que tout sa aurait pu être résolus si un modérateur c'était donné la peine de réagir en bloquant le compte pour une durée de 24 ou 72h... lorsque je l'ai mp plutot que répondre par "Je ne peux rien pour vous seul le support le peux..."

Bref beau boulot ankama... une choses est sure les arnaqueurs ont encore de beau jour devant eux sur DT...

 
2 0
Réactions 8
Score : 132

très bon constat ! je rajouterais aussi qu'ils ne se cachent même plus le canal recrutement est infesté d'arnaques ("je vend compte / goultine / venez voir mon site / tape sur google 'touffe de vulkania' "... ) et j'en passe. Surtout que ça fais plusieurs jours que je vois les mêmes pseudo de hackeur dans le canal... Un bouton signaler un joueur ne serait pas de refus aussi !

1 0
Score : 288

Entierement d'accord, je pense que la solution est a portée de main mais on a l'impression que vous ne souhaitez pas corriger tour c'est problèmes de hack 

0 0
Score : 379

Il y a tellement de problèmes comme celui ci dont on a l'impression qu'ankama se contrefiche royalement... plus on avance dans le temps plus le jeu devient strictement injouable de par toutes ces arnaques, les bots, des infractions a tout va in game non punies,  et même en les aidant à faire leur taff en faisant des reports ou en postant des sujets comme celui ci sur le forum ca ne change pas.

0 0

Bonsoir,

Des campagnes de prévention sont régulièrement lancées afin de prévenir les joueurs des différentes arnaques en jeu, de les informer des démarches à suivre et de les aider en cas de vol de compte.

Pour chaque cas que vous décrivez ci-dessus, une solution existe déjà :

« Le Constat » : La protection authenticator est fiable et disponible gratuitement pour n'importe quel compte Ankama, il vous suffit simplement de l'activer dans votre gestion de compte. Cette protection est active sur DOFUS Touch et vous permet de sécuriser n'importe quelle connexion à votre compte via votre smartphone ou tablette.
Tant que vous n'utilisez pas une plateforme différente pour accéder au jeu, sur laquelle vous communiquez donc volontairement toutes vos informations, l'authenticator est une protection fiable.

En tant que modérateurs, nous n'avons pas le droit de bloquer le compte d'un de vos amis et c'est tout à fait normal. N'importe qui pourrait alors se prétendre l'ami de n'importe qui pour bloquer n'importe quel compte. Sans preuves solides et sans demande provenant du titulaire du compte, nous n'acceptons aucune demande.

« La suggestion » : Votre solution comporte des failles, étant donné qu'un hackeur peut donc verrouiller un compte en utilisant le mot de passe qu'il aura mis à la place de celui mis par le propriétaire à la base.
Il en va de votre responsabilité, en tant qu'utilisateur, de sécuriser l'accès à votre compte Ankama et de ne pas partager ses informations privées avec un tiers.
Il est impossible de modifier une quelconque information sensible de votre compte Ankama (ici le mail, pour reprendre votre exemple) sans y entrer des informations que seul vous, titulaire supposé du compte, êtes censé connaitre.

Vous pouvez d'ores et déjà bloquer votre compte par sms si votre numéro a été ajouté dans vos informations personnelles, via ce lien : cliquez ici.

« La conclusion » : Ankama met à disposition des joueurs de nombreux moyens afin qu'ils sécurisent leur progression et leurs données. La sécurité des comptes est importante et des outils sont à disposition afin de l'améliorer. Il en va, encore une fois, de la responsabilité des joueurs d'utiliser ces outils et de certifier leurs comptes, afin d'empêcher ces vols.

Bien à vous,
[Archelisle]

Score : 379

Oui on est bien tous au courant de ces moyens de sécurité afin de protéger nos comptes et de vos campagnes de prévention contre le phishing, néanmoins ca ne règle pas du tout le problème exposé par la personne qui a créé ce sujet, vous pouvez au moins reconnaître et assumer qu'il n'y a pas grand chose, voir rien de fait par Ankama en jeu afin de contrer tous ces petits voleurs et arnaqueurs...

0 0
Score : 1

Mais c'est un peu comme ça sur tout les MMO non ? Quand quelqu'un que vous ne connaissez pas vous envoie un lien ou un truc bizarre par MP, pourquoi allez-vous dessus et téléchargez-vous des choses ?
La plupart du temps en plus, ce sont pour des choses non-autorisées : revente de kamas, goultines ou bot.

Ankama fait déjà beaucoup en effet avec l'Authentificator, aux joueurs de faire preuve de moins de crédulité face à ce genre de MP. Et ça, même sur d'autres jeux.

0 0
Score : 1520
J'éspère qu'ankama prendra le temps de lire ce post et ne le survolera pas simplement...

Authentificator fiable?! Oui et non...

Je vais couper cours a la fiabilité de l'authentificator tout de suite...

2 façon déjà d'actualité de by-pass l'authentificator...
Qui pourrait être résolue avec une maj de ce dernier... mais soit...
L'authentificator donne une fenêtre de 30seconde pour ce connecter...
plusieur méthode sont déjà utilisé par les arnaqueurs...

Problème N°1:
L'arnaqueur en posséssion de vos log-in attends simplement que vous dévérrouiller l'accès a votre compte le délais de 30 seconde permet a cet individus de pratiquer une connection a l'instant meme ou vous entrer en jeu... pour l'utilisateur sa marque simplement déconnecté du serveur...
En mémorisant le compte, il gagne ainsi un accès complet a votre compte a votre insus et ne se genera pas pour venir piller lors de votre deconnection...

Qui concerne encore la capacité a mémoriser un compte...:
Il suffit simplement a l'aide d'un malware ou d'une backdoor...sachant que les périphériques android sont sensiblement proche de Linux... il y'a déjà pas mal de c'est Backdoor présente sur android et depuis peu certain individu s'en serve pour copier directement l'apk et le cache depuis le téléphone de la victime...

De ce fait il peuvent ce connecter une fois le tout recompiler sans avoir besoin des log-ins...
Authentificator ou pas...

La solution pour contrée ceci? changer le systeme de 30secondes de l'authentificator...
L'Auth distribuerai un code unique valide pour une connection utilisable durant 1minutes...
Ainsi meme un hackeur/scammer en possession du mdp ne pourrait pas acceder au compte en attendant que sa victime se connecte...

Est-ce si compliqué a mettre en place?!

Problème N°2:
Concernant les scammeurs/hackeurs vous prétendez impossible de récuperer les objets volers
Sur l'aspect économique du serveurs cela tien la route... cependant qu'est-ce qui vous enpêche de restituer l'intégralité du stuff mais liés au compte via une récupération de la BDD du compte du joueurs concerné? le stuff n'aurait alors aucune valeurs in-game... mais ce geste permettrait peut-être de maintenir le joueurs ayant tout perdu en jeu... et ce sans impacter directement l'economie du serveur...

Parlons toujours de ces individus sans morale... il serait beaucoup moin entrain a poursuivre leurs manoeuvre si le butin était suivis avec des bans global... (La personne transfert forcément les objets/ressources vers des comptes annexes... retracer prend du temps je le conçois, mais a partir du moment ou vous trouver l'aboutissement c'est soit un Scammeur/soit un site de vente/soit un acheteur) a partir de la... si vous bannisez directement l'individus ou les individus concerner ce type d'arnaque/ commerce cessera a petit feu

Prenons Guildwars2 en Exemple (Le systeme détecte automatiquement les grosses transactions suspecte (100 ou 1000Po via un coffre de guilde) notification envoyée a un modo qui débouche en général sur un ban préventifs ou les deux partit sont invités a s'expliquer sur la nature de ces échanges a sens-unique...


Il s'agit la de petit détails qui pourrait redonner confiance a la communauté dans la modérations et le travail du staff...

Malheureusement quand je reçois comme réponse d'un modérateur sur Discord a la question "Pouvez-vous suspendre le compte de "********" actuellement controler par une personne mal-intentionné pratiquant le physhing et n'étant pas le propriétaire du compte... jusqu'a intervention du support?"

Ont me réponds... "Ce n'est pas notre rôles seul le support peux procéder a ce type de sanction"


Donc si je comprend bien... la traque au emu vous choppez un contre-venant ou vous avez un doute ont ban direct... mais quand il s'agit de suspendre des manoeuvres de fraude/arnaques/vol on laisse faire ya pas de problème...

Avouer que c'est risible...

Donc je répète une dernière fois, les 6 mesures...
- Changer le systeme de l'authentificator via un code Unique utilisable durant 1minutes(obtenu en dévérouillant le compte) et si possible ajouter un bouton demandant confirmation afin de déconnecté tout les comptes connecté et ou vérrouiller les compte 72h en cas de souçis.

-Permettre au joueurs "hacké" de récupérer via une sauvegarde l'intégralités des stuffs hacké présent lors de la derniere maj en format Liés au compte ne concernerait que la partie équipement (ressources et consomables non concernés et non restitué)

-Donner la possibilité au joueurs de liés et déliés un objet avec un délais de 30 jours entre chaque changement en utilisant un code fourni par l'authentificator (impossible sur les objets back-up post hack ou objets d'origine liés au compte)

-Les objets tél que le dofus cawotte, les objets prestiges, etc deviendrais liée et non supprimables afin d'éviter les suppréssions par une personnne mal intentionnée eventuellement mettre ces objets a 0pods

-Utilisé un bot ou un systeme qui détecterai via l'interface de jeu toute transaction suspecte a sens-uniques... compliqué avec les joueurs multi-compte mais avec un systeme de renseignement sur les comptes appartenant a une meme personnes cela permettrais de régulariser cela...tout en surveillant les transactions suspecte opérée par les vendeurs/acheteurs et arnaqueurs en tout genre...

La mémorisations d'un comptes doit inclures le facteur IP ou SSID de l'appreil hôtes afin d'empecher la duplications du cache de l'apk via malware... (Si un paramètres de l'appareil change, simplement demander à re-logger le compte via authentificator)

Toute ces choses sont t'elle irréalisable avec une équipe de developpement motivée?
Je ne croie pas...
 
1 0
Score : 351

La solution est simple , ne pas faire confiance aux gens qui demande d'aller sur des sites, peut importe la raison, si c'est une personne inconnue il faut l'ignorer 

Je suit cette règle depuis que j'ai commencé dofus, jamais je me suis fait hacker 

0 0
Réagir à ce sujet