Steam introduceert Limited User Accounts tegen misbruik
Het populaire speldistributieplatform Steam heeft een nieuwe maatregel tegen misbruik zoals phishing- en spamaanvallen op gebruikers aangekondigd, namelijk de verplichting voor Limited User Accounts om minimaal 5 dollar te besteden voordat ze bepaalde features kunnen gebruiken. Het gaat onder andere om het plaatsen van berichten, het gebruik van de chatfunctie en deelname aan de Steammarkt.
Volgens Valve, ontwikkelaar van Steam, moet de maatregel gebruikers tegen spam en phishing beschermen. Steam heeft wereldwijd 125 miljoen gebruikers. Via het platform kunnen gebruikers allerlei games en digitale voorwerpen kopen. Sommige onderzoeksbureaus stellen dat 75% van alle pc-games via Steam worden verkocht. Steamaccounts met veel spellen of digitale goederen zijn dan ook een geliefd doelwit van cybercriminelen, die gebruikers vaak via de chatfunctie of andere onderdelen van het platform benaderen.
"Kwaadwillende gebruikers maken vaak gebruik van accounts die geen geld hebben uitgegeven, wat het risico verkleint van de acties die ze uitvoeren", aldus Valve. Het bekijken van de aankoopgeschiedenis zou één van de belangrijkste manieren zijn om normale gebruikers van kwaadwillende gebruikers te onderscheiden. Kwaadwillende gebruikers zouden namelijk niet om de levensduur van hun account geven.
Daarom is er nu besloten om de limiet van 5 dollar in te voeren voordat accounts van alle functionaliteiten gebruik kunnen maken. Steamgebruikers zijn blij dat er iets tegen de scams op het platform wordt gedaan, maar er zijn ook kritische geluiden van mensen die bijvoorbeeld alleen fysieke pc-spellen kopen en niets op Steam uitgeven, zo blijkt uit de levendige discussie op Reddit.
Ik heb het even op een servetje uitgerekend:
Volgens het eerste de beste Google resultaat dat ik heb gevonden (http://www.zdnet.com/article/how-many-people-fall-victim-to-phishing-attacks/) trapt 0,000564% van de klanten in één enkele phishing aanval bij banken. Ik ga er voor het gemak maar even van uit dat dit cijfer betrouwbaar is ook voor Steamgebruikers opgaat.
Als we zeggen dat een spambot 1000 gebruikers via de chat kan bereiken (volledig uit mijn duim gezogen) voordat deze geblokkeerd wordt, zal per bot gemiddeld 0,00564 gebruiker toe zal happen. Omdat de spambot $5 aan Steam producten heeft gekost, moet deze gebruiker minimaal $886,52 aan verhandelbare digitale goederen beschikken om de bots break-even te laten draaien. Dat is dan nog exclusief de kosten van de servers en mankracht om de bots aan te kunnen sturen.
Als mijn berekening correct is, lijkt het mij een stuk minder aantrekkelijk om op Steam te gaan phishen.
Als mijn berekening correct is, lijkt het mij een stuk minder aantrekkelijk om op Steam te gaan phishen.
Dat had je ook kunnen zeggen zonder berekening. ;)
Ze mogen nog wel even uitleggen waarom ze niet bewijs van aanschaf voor een in een winkel gekocht spel accepteren. Ze zeggen tenslotte dat ze phishers van spelende gebruikers willen scheiden, en steam is ondertussen al lang niet meer alleen maar een verkoopkanaal. Deze selectiviteit doet wel af aan hun eigen argumenten, en dus hebben ze wat uit te leggen.
Als mijn berekening correct is, lijkt het mij een stuk minder aantrekkelijk om op Steam te gaan phishen.
Dat had je ook kunnen zeggen zonder berekening. ;)
Dan is zijn argument niet echt onderbouwd
Maar nu zal het wel een stuk lastiger worden voor Valve om vissers te herkennen, aangezien hun accounts meer gaan lijken op die van legitieme betaalde gebruikers. Nu zal Valve accounts van betaalde gebruikers moeten gaan sluiten (of privileges ontzeggen) als die zich bezighouden met vissen.
Aan de andere kant kun je nu wel de betaalgegevens van vissers zien. En bijvoorbeeld hun credit cards weren als ze betrapt worden, en op deze manier nog een drempel opwerpen.
We worden steeds harder om onze financieele data geplukt, bijvoorbeeld onder het mom "terrorismebestrijding", maar veiliger worden we er niet van. Wel erg moe.
Daarnaast kun je ondertussen uit de praktijk ook wel redelijk duidelijk stellen dat eigenlijk alle plannetjes die primair op identiteit leunen om bijvoorbeeld fraude tegen te gaan vooral meer slachtoffers maken dan strikt noodzakelijk. En dus eigenlijk bij voorbaat al ondermaats geacht moeten worden.
* Er was zelfs een Duits bedrijf dat hier een verdienmodel op bouwde: Bestel een ringtone voor een paar euro per SMS, blijkt het een maandelijkse afschrijving te zijn. Het leverde Jamba! miljoenen op.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
