Clash of Clans, Clan Royale en Marvel Contest of Champions, al deze games hebben eigen geldsystemen. Door game-valuta te kopen kun je op een luie manier beter worden: je hebt toegang tot grotere bommen en dikkere muren dan niet-betalende spelers. Maar er zijn nu oplichters actief die nog een stapje verder gaan: ze willen ook valsspelen in de echte wereld. Ze kopen het game-geld op met zwart geld van gestolen creditcards, om de muntjes vervolgens weer te verkopen aan een onwetende derde partij in ruil voor ‘schoon’ geld. Het Duitse IT- en beveiligingsbedrijf Kromtech kwam de wanpraktijken op het spoor, en probeert er een stokje voor te steken.

“Een groep kwaadaardige personen in het bezit van een complex geautomatiseerd systeem gebruiken gratis game-apps en websites bedoeld om te handelen in onderdelen uit games, naast Facebook, om gestolen geld van creditcards te witwassen,” schrijft Kromtech in een rapport.



De in-app betaalmiddelen zijn een belangrijke bron van inkomsten voor de producenten van moderne videospellen. Electronic Arts – de studio die Star Wars: Battlefront II uitbracht – verdiende 787 miljoen dollar (676 miljoen euro) aan in-game aankopen in hun meeste recente kwartaal. Ze zullen er niet zomaar mee stoppen, ook al waarschuwen beveligingingsexperts al langer dat de in-game betaalmiddelen in theorie nogal gevoelig zijn voor fraude.

Soms probeert de overheid in te grijpen. In 2011 viel de FBI bijvoorbeeld een aantal studentenkamers binnen omdat de Amerikaanse studenten werden verdacht van fraude in World of Warcraft, maar er werd niks gevonden. Ook de gemeenschap van EVE Online – een online multiplayerspel in de ruimte – maakt zich al lange tijd zorgen dat de digitale munt te makkelijk gemanipuleerd en gebruikt kan worden voor het witwassen van crimineel geld.



Volgens Bob Diachenko, hoofd van de communicatieafdeling van Kromtech, is heeft zijn team nu eindelijk bewijs voor de witwaspraktijken. Het team stuitte op het oplichtersplan tijdens een audit van MongoDB, een open-source databaseplatform, in juni. De database zag er verdacht uit: hij was nog maar een paar maanden oud, niet beveiligd en volgestopt met 37.606 creditcardnummers. Het team vond links naar een Facebookgroep van fraudeurs die een automatisch systeem aan het organiseren waren, dat alle creditcards zou verwerken. Die creditcards werden dan gekoppeld aan nieuwe Apple-accounts. Daarmee werden in-game betaalmiddelen van gratis spelletjes aangeschaft die vervolgens werden gedumpt op de grijze markt. Apple, Supercell, and Kabam— de makers van Marvel Contest of Champions – kwamen niet gelijk met een reactie.

Het is nogal vreemd, en nooit eerder voorgekomen, dat criminelen een database helemaal niet beveiligen. Diachenko liet aan techsite Motherboard via een e-mail weten dat de onbeveiligde database was terug te voeren naar een Facebookgroep die hier juist op hamerde. “Mensen maken fouten, ook slechte mensen,” zegt Diachenko. Volgens Diachenko gebruikten de oplichters een gekraakte iPhones, die voortdurend bezig waren valse accounts aan te maken. Hij vond er een videootje van in de facebookgroep, waarin de draaiende Iphones uitgestald zijn op een rek.

“De criminelen gingen nog een stap verder in de automatisering. Er werden automatisch creditcardnummers gegenereerd, en ook het kopen en verkopen van de muntjes uit de games ging vanzelf,” schrijft Kromtech in het rapport. “Het eindresultaat: een volautomatische witwastool voor creditcarddieven.”

De criminelen maakten gebruik van de website g2g.com – een digitale marktplaats om handelswaar uit spellen zoals World of Warcraft en Clash of Clans te verkopen. Oplichters die Clash of Clan-accounts inclusief digitaal geld op g2g verkopen, vragen tussen de 30 en 90 dollar, volgens het rapport. De transacties zijn dus klein, maar automatische systemen kunnen iedere dag duizenden van deze aanbiedingen posten. Kromtech heeft van bijna 20.000 creditcards kunnen bevestigen dat ze zijn gebruikt in deze oplichterszaak.

Beeld: g2g.com screengrab via Kromtech.

Kromtech weet niet zeker hoeveel geld de dieven hebben verdiend en schat dat de oplichterij nog maar anderhalve maand bezig was voordat zij het ontdekten.



Het lijkt erop dat de dieven ook hebben geprobeerd om Android-telefoons te gebruiken, maar door maatregelen van Google bleek het te moeilijk om het aanmaken van accounts te automatiseren. Volgens Diachenko kan Apple dit soort oplichterij in de toekomst helpen voorkomen door de verifiëring van de creditcards te verbeteren. Apple verifieert een account door een aankoop te doen met 1 dollar, en die weer terug te storten. “We zagen dat veel accounts met een valse naam en vals adres werden geaccepteerd,” zegt Diachenko. “Een striktere verificatie zou het iets moeilijker kunnen maken voor de oplichters.”

We kunnen de details van de oplichting bevestigen na het inzien van de Facebookgroep waar Kromtech in de documenten naar verwijst, maar ze vanwege het lopende onderzoek nog niet bekend maken. Deze ingewikkelde en grove oplichterszaak bewijst dat er altijd iemand zal proberen misbruik te maken van game-geld, zo lang die verbonden zijn met poen uit de echte wereld.

Dit artikel verscheen eerder op Motherboard, coverfoto via Supercell

