E' da diversi mesi ormai che una piccola parte degli utenti Xbox Live lamenta problemi di furto dei loro account, acquisti si punti effettuati con le carte di credito collegate o sparizione di Microsoft Points. Inizialmente si pensava che questi episodi fossero legati a FIFA 12 perchè molti degli utenti colpiti erano anche giocatori del titolo EA, ma poi man mano questa ipotesi si è dissipata quando anche utenti non appartenenti a tale gruppo hanno risocntrato gli stessi problemi. Allora da cosa dipende realmente?

Microsoft ha finora dichiarato ufficialmente che tali problemi sono riconducibili ad attacchi di phishing nei confronti degli utenti, ossia l'invio di email fraudolente che sembrano provenire da Microsoft e che chiedono agli utenti di accedere a Xbox.com inserendo username e password: gli utenti verrebbero in realtà dirottati su siti identici al sito Microsoft ma che memorizzerebbero in un db interno le username e password fornite, un po' come il caso delle truffe dei Bancomat finti di cui si sente parlare ogni tanto nei notiziari.

Il sito AnalogHype ha però pubblicato oggi i risultati delle ricerche del sistemista di rete Jason Coutee, il quale ha subìto in prima persona l'intrusione nel proprio account Live. Coutee dichiara di aver capito come possano gli hackers impossessarsi degli account altrui: eccovi come potrebbe avvenire il tutto.

La prima mossa per un hacker che volesse impadronirsi di un account Live sarebbe individuare il Live ID associato a tale gamertag, informazione spesso pubblica tramite forum o altri siti perchè i giocatori usano scambiarsi mail o parlare su MSN usando gli stessi account. Una volta fatto questo, gli hacker cercherebbero di trovare la password di tale account utilizzando un banale sistema a forza bruta: con uno script tenterebbero di inviare alla pagina di login di Xbox.com una dopo l'altra tutte le password di un elenco di password più comuni, nella speranza che l'utente abbia usato proprio una di queste. In genere, i siti bloccano tali attacchi dopo un certo numero di tentativi falliti ed anche Xbox.com lo fa dopo 8 password errate, proponendo l'inserimento di un codice Captcha, ma Coutee spiega che in tal caso è presente nella pagina anche un link "prova con un altro account" che di fatto resetta il Captcha e permette allo script di continuare a provare altre password.

Se lo script riesce a trovare la password corretta, allora gli hacker possono entrare nel profilo Live dell'utente, acquistare Microsoft Points, cambiare gamertag ed email e venderlo ad ignari compratori, oppure lasciare l'account intatto ma trasferire i Microsoft Points ad altri account utilizzando il meccanismo dei sotto-account per i membri della famiglia. Ovviamente una volta resa automatica tale attività e replicata su centinaia o migliaia di account Live reperiti sulla rete, questo potrebbe garantire agli hackers un numero di successi tale da garantire dei buoni profitti.

Per ora non sappiamo se questo sia effettivamente il sistema utilizzato dagli hackers, ed è bene notare che un simile meccanismo avrebbe successo unicamente qualora la password usata per l'account Live non sia abbastanza sicura. In ogni caso, il nostro consiglio è di usare sempre password complesse e poco prevedibili, che contengano almeno 8 caratteri e combinazioni di lettere maiuscole/minuscole e numeri, oltre a non cliccare su email che invitano a fornire username e password anche se sembrano provenire da Microsoft. Vi terremo aggiornati su eventuali sviluppi della questione.