Het videospel “Fortnite” is momenteel erg populair onder jonge gamers. De ontwikkelaars hebben onlangs een versie voor het Android besturingssysteem aangekondigd, die deze zomer beschikbaar zou moeten zijn. Cybercriminelen spelen in op het ongeduld van fans en verspreiden valse apps en gevaarlijke instructie-video’s op populaire videoportalen zoals YouTube over hoe je het spel nu al zou kunnen installeren op Android. De voornaamste doelgroep van de video’s zijn jongere gamers, die uiteindelijk de nep-apps op hun apparaten installeren die hen proberen te verleiden om een duur abonnement af te sluiten of die malware bevatten. Maar het zijn niet alleen jonge gebruikers die in dit soort vallen lopen.
Jonge doelgroep
Fortnite (volledige naam Fortnite Battle Royale) is een videogame die momenteel beschikbaar is voor PC, Mac, consoles en iOS. Volgens de informatie van ontwikkelaars heeft het spel op dit moment 125 miljoen geregistreerde gebruikers en richt het zich op een relatief jonge doelgroep – de detailhandelsversie is gelabeld als geschikt voor 12 jaar en ouder. De recente publicatie van de iOS-versie toont aan hoe populair de game is. Alleen al in de eerste drie weken realiseerde de Fortnite-app voor iOS een omzet van meer dan 15 miljoen dollar. Dat is een hogere omzet dan bijvoorbeeld Pokemon Go. Momenteel verdient de ontwikkelaar ongeveer 1 miljoen dollar per dag met Fortnite alleen op iPhone en iPad. De aankondiging dat er ook een versie voor Android beschikbaar komt deze zomer, was dan ook direct een hot topic.
Social engineering
Hoe de oplichters in dit specifieke geval te werk gaan, is uitgebreid beschreven in de G DATA SecurityBlog. Op deze plek wil ik het hebben over de psychologie die hierachter steekt: social engineering. In het geval van de Fortnite scam zijn de beoogde slachtoffers jongeren, waarvan wij misschien denken dat ze naïever en gemakkelijker om de tuin te leiden zijn dan wij, volwassenen. Helaas blijkt keer op keer dat ook de meest verstandige volwassenen in goed ontworpen scams trappen.
Enkele jaren geleden lazen we regelmatig over CEO-fraude, waarbij financieel directeuren een e-mail ontvingen die zogenaamd van hun baas afkomstig was, met het verzoek om per ommegaande een groot bedrag ‘op discrete wijze’ over te schrijven naar een buitenlandse rekening om één of andere grotere ramp te voorkomen (een rechtszaak, een boete, bekendmaking van een bepaalde schandaal waarin het bedrijf verwikkeld zou zijn, etc.). Zo verloor de Belgische bank Crelan vorig jaar 70 miljoen euro.
Russische schoonheden
Ook een jaarlijks terugkerend fenomeen dat succesvol blijft (vooral nu de teksten steeds foutlozer en overtuigender worden): de zogenaamde e-mail van een vriend die in het buitenland beroofd is van zijn geld en paperassen. En die een dringend verzoek doet om hem geld te lenen via een service als Western Union. En dan zijn er natuurlijk nog de eenzame Russische schoonheden. Zij zoeken een goede, betrouwbare man (en hebben na verloop van tijd wel wat geld nodig voor het aanvragen van visa en documenten). En de Nigeriaanse notarissen die plotseling in hun maag zitten met vele miljoenen dollars die ze tijdelijk ergens moeten stallen. Ze hebben daar een ruime compensatie voor over. Maar dan moet er vooraf wel wat geld worden overgemaakt om alles te kunnen regelen.
En vergeet niet de ‘Microsoft-medewerker’ die je opbelt. Hij zal je even live aan de telefoon van al je computerproblemen (en je geld) afhelpen. De voorbeelden zijn legio. Dat maakt het ook zo lastig om mensen tegen alle mogelijk scenario’s te waarschuwen en te wapenen. Veel verder dan: ‘wees achterdochtig’, ‘vertrouw vreemde verhalen niet zomaar’, ‘als iets te goed lijkt om waar te zijn, dan is het dat meestal ook’, ‘voor niets gaat de zon op’ en andere vage adviezen ga ik ook dit keer weer niet komen. Toch hoop ik dat het helpt…
Dirk Cools, Country Manager G DATA Benelux
