Durante as últimas semanas, cerca de 50 contas de jogadores de alto nível foram do jogo popular game de futebol FIFA 22 foram sequestradas. A empresa desenvolvedora do jogo Electronic Arts (EA) recentemente divulgou um comunicado no qual destaque que a investigação sobre o incidente mostrou que os cibercriminosos utilizaram técnicas de engenharia social para explorar o erro humano da equipe de atendimento ao cliente para contornar a autenticação de dois fatores e obter acesso às contas comprometidas.

De acordo com informações do jornal britânico Mirror, vários streamers conhecidos foram vítimas dessa série de ataques que teve como objetivo sequestrar contas de jogadores do FIFA 22, incluindo Jamie Bateson (AKA Bateson87), NickRTFM, Trymacs, TisiSchubecH e FUT FG.

Os cibercriminosos por trás desses ataques têm obtido o "Gamertag" ou Playstation ID, que é o nome/identificador que cada usuário tem no jogo, e utilizado essa informação para entrar em contato com a área de suporte da EA via chat com o intuito de obter ajuda usando a falsa desculpa de que suas contam tinham sido bloqueadas, destacou o jornal Mirror. Desta forma, o que aparentemente aconteceu é que o atacante forneceu a Gamertag da vítima se fazendo passar por ela e solicitando à equipe de suporte a modificação do endereço de e-mail associado à conta.

Aparentemente, os usuários não precisam fazer login em uma conta para conversar com a área de suporte e o nome e endereço de e-mail do usuário é o suficiente para obter atendimento.

A EA destacou que está trabalhando para identificar os legítimos proprietários das contas roubadas e restaurar o acesso às contas e conteúdo. A empresa também anunciou medidas para reduzir as chances de que isso volte a acontecer e estabeleceu os seguintes pontos:

  • Todos os agentes da EA que prestam suporte aos serviços ligados às contas empresa receberão novo treinamento com foco especial nas melhores práticas de gerenciamento de segurança de contas e nas técnicas de phishing utilizadas nesse tipo de ataque.
  • Criação de novas etapas para o processo de verificação de conta para os legítimos proprietários. Por exemplo, será necessário um tipo de aprovação administrativa para pedidos de mudança de endereço de e-mail.
  • O software de identificação será atualizado para melhor identificar atividades suspeitas, avisar sobre contas em risco e limitar as possibilidades de erro humano durante o processo de atualização de contas.

Embora essas mudanças possam retardar alguns processos, a EA acredita que são passos necessários para melhorar a proteção das contas de seus clientes.