Por Matheus Alves
A ideia parecia tentadora, ao menos para a minha versão de 15 anos de idade. O ano era 2015 quando um usuário anônimo me abordou na Steam, uma das mais populares plataformas de jogos online. Eu passava ao menos 4 horas diárias mergulhado em um jogo de estratégia chamado Dota 2 e tinha um patrimônio a zelar. Meu item mais valioso era uma skin (“roupinha dos personagens”, para os leigos) que no marketplace da plataforma valia algo em torno de 70 reais – o equivalente a uma fortuna para um adolescente.
O anônimo se apresentou como um desenvolvedor de sites de apostas de itens digitais como a minha preciosa skin. Isso lhe dava, segundo ele, a possibilidade de manipular os resultados. Aí entrava a proposta: eu apostaria 5 reais de crédito iniciais concedidos pelo site, a roleta girava, eu sempre ganhava.
Apesar da vergonha de confessar, segui seu plano. Deu certo… até dar errado.
O mercado de itens digitais é complexo. Para aqueles que não fazem ideia desse universo, muitos dos populares jogos online, especialmente aqueles gratuitos, lucram com a venda de itens virtuais para os jogadores. Na maioria das vezes, são apenas itens cosméticos, ou seja, não garantem qualquer vantagem mecânica nas regras do jogo.
Daniel Quandt (27), conheceu este mercado logo em seu nascimento, em um jogo de tiro chamado Team Fortress 2, um dos pioneiros a implantar um sistema de troca na Steam. Sua prática consistia em comprar itens baratos e, por meio do escambo com jogadores durante as partidas, trocar por itens de maior valor para vender em fóruns de terceiros, pelo Paypal. Comprando itens de até 15 dólares e vendendo por mais de 10 vezes o valor, chegou a acumular mais de 800 dólares, o que para um garoto de 15 anos era uma baita grana.
Segundo ele, era um mercado pouco explorado, em que as pessoas mal sabiam o que significava Lootbox (“caixas de tesouros”, na tradução livre). Abrir uma dessas caixas garante um item aleatório de uma seleta lista – na maioria, de pouco valor, mas com uma ínfima chance de conter um item extremamente raro e valioso. O conceito em si é controverso, gerou polêmicas e até foi proibido em alguns países, em virtude de sua semelhança com jogos de azar.
“Com o tempo os jogadores foram ficando mais maduros e as informações começaram a fluir mais, começou a ter um “padrão” de valor de certos itens que serviam como moeda de troca, introduziram crafting, steam market, etc”, relatou Daniel. “No começo, entretanto, era velho oeste total, terra de ninguém”, acrescentou.
Ao longo do tempo, as empresas do setor passaram a implementar marketplaces para compra e venda de itens entre usuários, que é o caso da Steam. Além de ficar mais tangível o valor de cada item, a decisão reflete o potencial do segmento. Isso levou muitas pessoas, incluindo não-jogadores, a entrar neste mercado para tirar algum lucro, seja com compra e venda, apostas em times de e-sports ou em roletas.
Marketplaces oficiais são mais seguros, mas cobram uma taxa percentual para cada transação, reduzindo a margem de lucro ou até a eliminando, no caso de um atravessador. Esse fator incentiva muitos usuários a trocarem seus itens em sites de terceiros, que não cobram taxa. Os valores são vultosos. Para se ter uma ideia, o item de maior valor no CS.Money, site de troca de itens do jogo de tiro CS:GO, é uma skin de faca avaliada em mais de 130 mil reais. Pelo menos até o momento de publicação desta matéria.
Com esses valores e relatos, até parece tentador entrar neste mercado. Mas nem sempre a história termina bem. Após pedir dinheiro para a mãe, Gabriel Padilha comprou chaves para abrir algumas loot boxes de CS:GO. Entrou em estado de pura euforia quando teve a sorte de encontrar uma Karambit Doppler – skin de faca cuja versão mais comum é hoje avaliada em, no mínimo, 9 mil reais. Jovem e imprudente, buscou triplicar seu lucro em sites de apostas. Como na maioria dos casos, deu azar e desperdiçou sua pequena fortuna.
Falta de sorte também foi o caso do estudante Daniel Cirati. Ele chegou a trocar um item raro no Dota 2 por outros dois com a mesma classificação de raridade. Para seu azar, o item que ele abdicou, hoje, está avaliado em mais de 38 mil reais. Os dois que ele manteve valem apenas 150 cada.
Daniel deixou de ganhar, mas há quem de fato saia no prejuízo – onde há dinheiro, há crime. Uma das principais práticas de fraude neste mercado – como em outros setores – faz uso de engenharia social. Este método se opõe à visão do hacker sentado atrás da tela digitando comandos freneticamente. Em vez de usar programas maliciosos para confiscar dados, o criminoso usa da lábia para enganar jogadores a darem itens, acesso a contas ou até dados bancários. Enquanto alguns itens digitais podem ser negociados em plataformas de jogos por dinheiro, outros são exclusivos das contas que os possuem, segundo Chris Boyd, analista líder de inteligência de malware da Malwarebytes. “Por conta disso, alguns criminosos se concentram em roubar contas de usuários e vender em mercados do submundo”, elucida Chris.
Henrique Ribeiro foi vítima de um roubo de conta aos 8 anos de idade. Durante um evento gratuito do AQW, jogo de MMORPG – gênero que permite a criação de personagens em um mundo virtual dinâmico online –, Henrique derrotou o adversário mais poderoso do jogo. Recebeu como prêmio uma poderosa katana, espada japonesa que ficava vinculada à sua conta. Assim como no meu depoimento, um anônimo o abordou e disse que poderia lhe conceder a assinatura do jogo. Tudo o que ele precisava fazer era passar os dados da conta. Você já sabe como essa história termina…
O mais curioso de tudo isso é que em alguns jogos online é possível utilizar de engenharia social para adquirir itens de forma “lícita”. Na maioria dos MMORPGs, há áreas do mundo virtual em que combates entre jogadores é permitido – chamadas de PvP (players vs. players) –, e em muitos casos, ser derrotado significa derrubar todos os itens conquistados até então.
Jolyne Ártemis Meira Corrêa (21) conta que estava jogando um MMORPG chamado Runescape quando um usuário anônimo a abordou, oferecendo ajuda para evoluir no jogo. Ainda na pré-adolescência, Jolyne confiou nas palavras do jogador e o seguiu para uma PvP. Chegando lá, o usuário atacou e derrotou a personagem de Jolyne, conquistando todos os seus itens.
Outro método bastante utilizado por cibercriminosos é o phishing. “Essa prática consiste em criar uma página de login falsa ou se passar por um amigo e tentar enviar links maliciosos por meio de plataformas de bate-papo”, descreve Fernando de Falchi, gerente de engenharia de segurança e evangelista da Check Point Software Brasil.
No bate-papo da Steam, Gabriel Ovalle (22) foi abordado por um amigo, pedindo para que votasse em sua liga de CS:GO clicando em um link. ”O interesse compartilhado em videogames dá credibilidade e cria confiança. É preciso certificar-se de olhar para qualquer coisa que não pareça correta e nunca clicar em qualquer link”, recomenda Fernando. Desatento e com sono, Gabriel clicou no link, logou e votou no site e foi dormir. No dia seguinte, acordou com dezenas de mensagens de amigos dizendo que ele havia sido hackeado.
Acontece que o amigo de Gabriel não era o vilão da história: ele também havia clicado em um link malicioso. Em muitos casos, isso é o suficiente para o criminoso tomar controle da conta, roubar todos os itens, e distribuir o mesmo link para outros usuários da lista de contatos da vítima. Eu era um deles, no entanto, suspeitei da veracidade da conversa e evitei perder todos os meus itens. Já Gabriel, não teve a mesma sorte e hoje, nem sente mais vontade de jogar.
Como as plataformas de jogos tendem a incluir níveis adicionais de segurança na forma de autenticação, os golpes geralmente incluem maneiras de contornar esses métodos de proteção. “Alguns portais de phishing solicitam códigos 2FA (autenticação de dois fatores) e os inserem nos sites reais automaticamente, enquanto outros ocasionalmente solicitam arquivos localizados no PC do alvo, o que permite ignorar as verificações de autenticação”, informa Boyd.
Independentemente do tipo de fraude, o setor é especialmente atrativo para cibercriminosos em função do alto número de jovens e crianças jogando. “Os jogadores jovens geralmente são alvos importantes, pois suas contas podem não ser protegidas da maneira que os jogadores mais velhos estariam”, acrescenta Boyd. “A falta de conhecimento de segurança e o anseio de começar a jogar podem resultar em senhas repetidas, sem 2FA e proteções fracas em endereços de e-mail associados”, ressalta.
Se eu tivesse ao menos parte das informações desta reportagem, não teria confiado naquele suposto desenvolvedor de sites de apostas do começo do texto. No êxtase do lucro fácil, minha versão de 15 anos estava fadada ao fracasso. Para resgatar o dinheiro, o site exigia que eu comprovasse minha identidade por meio do depósito de itens. Para atingir o valor mínimo exigido pelo site, eu precisava colocar meu item mais valioso. Assim depositei a minha tão prezada skin. E o resto, é história.
Fonte: Reprodução / Steam