Selon les derniers chiffres relevés par Kaspersky, le nombre d’utilisateurs uniques ciblés par des cybercriminels exploitant des jeux populaires auprès des enfants pour arriver à leurs fins a bondi de 30 % au cours des six premiers mois de 2024, par rapport au second semestre de 2023. Les chercheurs ont analysé les risques liés aux jeux destinés aux enfants et ont découvert que plus de 132 000 utilisateurs avaient été pris pour cible. Plus de détails sont disponibles dans le dernier rapport de Kaspersky sur les cybercrimes ciblant les jeunes joueurs.

Les jeux pour enfants les plus exploités

Les experts de Kaspersky se sont penchés sur les menaces exploitant les jeux vidéo populaires auprès des enfants, et ont analysé la période allant du 1er juillet 2023 au 30 juin 2024. Au cours de cette période, les solutions de sécurité de Kaspersky ont détecté plus de 6,6 millions de tentatives d’attaque, où les acteurs malveillants ont utilisé les marques des jeux pour enfants comme appât.

Sur les 18 jeux étudiés pour cette étude, la majorité des attaques observées sont liées à Minecraft, Roblox et Among Us. Selon les statistiques de Kaspersky, plus de 3 millions de tentatives utilisant la notoriété de Minecraft ont été lancées au cours de la période considérée. Il est fort probable que les pirates aient choisi cette méthode en raison de la popularité du jeu, et la propension que ses joueurs ont à recourir à des cheats et des mods. Ceux-ci étant généralement proposés sur des sites web tiers, les attaquants en profitent pour faire passer leurs malwares pour ces applications.

Les chercheurs de Kaspersky estiment que les taux de réussite plus élevés détectés en 2024 peuvent être expliqués par deux facteurs. D’une part, en se tenant au courant des tendances, les acteurs de la menace mettent au point des stratégies plus astucieuses, exploitant l’agenda des sorties culturelles et élaborant des plans moins prévisibles. D’autre part, les cybercriminels utilisent de plus en plus l’IA pour automatiser et personnaliser les attaques de phishing. Parallèlement, des kits de phishing avancés “prêt à l’emploi”, tel que des modèles de pages de phishing préfabriqués, créés à l’aide d’outils automatisés sont régulièrement proposés sur le Dark Web, ce qui permet à un nombre croissant d’attaquants de déployer des pages de phishing très convaincantes qui imitent les plateformes de jeux les plus populaires.

Des arnaques sur les jeux préférés des enfants

L’une des escroqueries les plus courantes dans le domaine des jeux vidéo consiste à exploiter les skins (c’est-à-dire de nouvelles apparences pour ses personnages, généralement des vêtements ou des armures) qui améliorent les compétences du personnage joué. Certains skins sont très communs, mais certains sont extrêmement rares et donc plus recherchés.

Les experts de Kaspersky ont par exemple mis au jour une escroquerie qui utilise à la fois le nom du jeu Valorant et celui du célèbre YouTubeur Mr. Beast, particulièrement populaire auprès des jeunes. Dans cette arnaque, les cybercriminels proposent de recevoir un skin Mr. Beast. Pour le recevoir, les jeunes utilisateurs sont invités à saisir leur identifiant et leur mot de passe de compte de jeu, ce qui permet aux escrocs de récupérer leurs données d’identification.

L’image de M. Beast est utilisée comme leurre pour inciter les enfants dévoiler leurs identifiants

Une méthode très répandue consiste à promettre de la monnaie de jeu contre des informations. Dans l’une des escroqueries identifiées, utilisant la marque Pokémon GO, les joueurs sont invités à saisir le nom d’utilisateur de leur compte de jeu, puis invités à répondre à un test pour prouver qu’ils ne sont pas un robot. Une fois le formulaire rempli, ils sont redirigés vers un faux site web, qui promet généralement des récompenses ou des cadeaux. C’est là qu’intervient la véritable escroquerie. Les escrocs ne cherchent pas à obtenir des données personnelles telles que les détails d’une carte de crédit ; ils utilisent l’apparence d’un jeu pour attirer les utilisateurs vers un autre canular, impliquant de faux téléchargements, des réclamations de prix ou d’autres offres trompeuses. L’ensemble du processus est un moyen astucieux de rediriger les utilisateurs vers une escroquerie différente et plus dangereuse, sous le prétexte d’une étape de vérification en apparence légitime.

Arnaque exploitant la marque Pokémon GO

« Les résultats de nos recherches sont sans appel : les attaques contre les enfants sont devenues un vecteur courant des activités cybercriminelles. C’est pourquoi la sensibilisation à la cybersécurité et le recours à des solutions fiables sont indispensables pour renforcer la sécurité des enfants en ligne. En les incitant à faire preuve de discernement, à adopter un comportement responsable en ligne et à comprendre les risques, nous pouvons créer une expérience en ligne plus sûre et plus positive pour cette génération de natifs du numérique », commente Vasily M. Kolesnikov, expert en sécurité chez Kaspersky.

Source : communiqué