Bezpečnost Metin2: Jak chránit svůj účet, čas a předměty

Většina hráčů Metin2 si myslí, že bezpečnost účtu je problém někoho jiného, dokud se jednoho rána nepřihlásí a zjistí, že jejich postava je obnažená, jejich Yang je pryč a běží odpočet na smazání postavy. Tato příručka pokrývá, co se skutečně stane, když dojde k kompromitaci účtu Metin2, jakou plochu útoku útočníci skutečně používají, a malou sadu zvyků, která blokuje 99 % převzetí účtů.

Proč jsou účty Metin2 cílem, který stojí za obranu

Hráči podceňují, jak atraktivní je účet Metin2 pro zloděje. Postava se dvěma lety progrese je chráněna pouze jedním heslem, často stejným heslem, který hráč používá pro svůj herní Discord, svůj e-mail a tucet dalších herních účtů. Finanční hodnota předmětů uvnitř je skutečná: špičková vybavení, vzácné kostýmy, Dragon Alchemy Stones a farené dungeon dropy se mezi hráči obchodují za skutečné peníze na černém trhu každého aktivního serveru. Útočník, který prolomí jeden účet, si odnese předměty v hodnotě desítek až stovek eur během jedné hodiny.

A není to jen o předmětech. Kompromitovaný účet Metin2 je vstupním bodem do vašeho širšího digitálního života: e-mail, který je s ním spojen, všechny Discord servery, na kterých je přihlášen, řetězce resetování hesla pro nesouvisející služby. Hodina, kterou jste nestrávili na bezpečnosti, vás může stát týdny čištění na půl tuctu účtů.

Co se skutečně stane, když je účet ukraden

Časová osa typického převzetí účtu Metin2 je rychlejší, než si většina hráčů uvědomuje:

• Minuta 0 až 5: útočník se přihlásí s uniklým heslem, změní heslo účtu, někdy i registrovaný e-mail, pokud to server umožňuje bez potvrzení.
• Minuta 5 až 30: všechny tekuté předměty (vybavení, Yang, předměty, kostýmy, prodejné spotřebitelské zboží) jsou přesunuty na pomocný účet přímým obchodem, nabídkami na tržišti za 1 Yang nebo přesuny přes skladiště cechu.
• Minuta 30 až 60: vysokocenné vybavení je odstraněno, někdy zničeno, pokud útočník provádí sabotážní práci místo krádeže.
• Hodina 1 a dále: vyčištěná postava je používána k podvádění vašeho seznamu přátel zprávami typu „půjč mi X na rychlý běh", falešnými pozvánkami na obchod, phishingové odkazy odesílané přes soukromou zprávu, která vypadá, že pochází od důvěryhodné osoby.

Když si to všimnete a kontaktujete podporu, stopa je často studená. Většina správců serverů může vrátit předměty pouze v úzkém časovém okně, a na vytížených serverech řeší několik takových hlášení denně. Ponaučení: nespoléhejte se na to, že se budete moci zotavit. Zabráňte převzetí účtu na prvním místě.

Jak dochází ke kompromitaci účtů Metin2

Opakované použití hesla a credential stuffing

Toto je #1 způsob, jak se účty Metin2 dostávají do rukou útočníků. Zaregistrovali jste se na malém fóru v roce 2017 se stejným heslem, které stále používáte pro svůj účet Metin2. Databáze tohoto fóra unikla. Roky později si útočník stáhne únik a zkusí každou dvojici uživatelského jména/hesla proti každému hernímu serveru, který najde. Váš účet Metin2 nemá nic špatného na své vlastní bezpečnosti; padne kvůli nesouvisejícímu porušení někde jinde.

Phishing v herní a na Discordu

Klasický tok phishingu Metin2: cizinec vám napíše „GM chce vám dát odměnu, přihlaste se zde, abyste ji získali," nebo Discord bot vydávající se za oficiálního správce serveru vám pošle falešný odkaz na přihlášení. Stránka vypadá stejně jako ta skutečná. Zadáte své přihlašovací údaje. Útočník je uvnitř. Skuteční GM nikdy neposílají hráčům zprávy s žádostí o přihlášení, heslo nebo „ověřovací kód". Považujte každý nežádaný „kontakt GM" za nepřátelský.

Škodlivé klienty a neoficiální nástroje

Auto-loot boty, mini-map mody, „bezplatné klobouk" patchery, upravení klienti stažení z náhodných Discord serverů: všechny jsou populárními vektory dodávky pro malware kradoucí přihlašovací údaje. Útočník vás nemusí phishovat, pokud mu dáte key-logger a screen-grabber. Držte se oficiálního klienta publikovaného serverem, na kterém hrajete.

Podvody s obchodem a sdílením účtů

„Půjč mi svůj účet na jeden dungeon, dostanu ti drop." „Jen si podělme heslo, abych ti pomohl nastavit kostým." Každá nabídka sdílení účtu skončí jedním ze dvou způsobů: přítel zůstane přátelský a nic se nestane, nebo se přítel stane nepřátelským (nebo jeho účet bude hacknut, když je přihlášen jako vy) a vy přijdete o všechno. Očekávaná hodnota sdílení je negativní. Nedělejte to.

Kontrolní seznam obrany do hloubky

Žádná z níže uvedených položek není sama o sobě neprůstřelná. Kombinované činí převzetí účtu tak nákladným, že útočníci se přesunou na snazší cíle:

• Jedinečné heslo pro každý účet. Vaše heslo Metin2 nesmí být vaše e-mailové heslo, vaše Discord heslo, vaše heslo k jinému hernímu účtu nebo jakékoli heslo, které jste kdy používali kdekoli jinde. Použijte správce hesel (doporučení níže), abyste si nemuseli pamatovat tucet z nich.
• Dvoustupňové ověřování, kdekoli je podporováno. Mnoho účtů spouštěčů serverů a většina poskytovatelů e-mailu (Gmail, Outlook, ProtonMail, Yandex) vám umožňuje přidat kód TOTP prostřednictvím aplikace jako Authy, Aegis nebo Google Authenticator. Zapněte to. Účet chráněný 2FA přežije i úplný únik hesla.
• Vyhrazený herní e-mail. Vytvořte jednu adresu, kterou používáte pouze pro herní účty. Pokud dojde ke kompromitaci této poštovní schránky, je poloměr výbuchu omezen na hry; váš bankovní a pracovní e-mail zůstanou v bezpečí.
• Nikdy neklikejte na herní přihlašovací odkazy. Skuteční správci vás nasměrují pouze na oficiální adresu URL serveru. Zadejte ji ručně nebo použijte záložku. Zkrácené adresy URL a Discord přesměrování odesílané cizinci jsou z 95 % phishing.
• Zkontrolujte zámek SSL před přihlášením. Každá legitimní přihlašovací stránka serveru Metin2 je podávána přes HTTPS s platným certifikátem. Pokud chybí ikona zámku nebo prohlížeč varuje před certifikátem, zavřete kartu a ověřte adresu URL.
• Nikdy nesdílejte. Nikdy. Sdílení účtu porušuje bezpečnostní model bez ohledu na to, jak moc důvěřujete příteli. Jejich počítač může být kompromitován, i když oni nejsou.
• Sledujte e-maily pro resetování hesla, která jste nespustili. Pokud se jeden objeví, okamžitě změňte heslo; někdo se pokouší proniknout.
• Vyhněte se neoficiálním klientům a nástrojům „bezplatné položky". Pokud si stažení chce vyměnit soubory ve vaší složce Metin2 a nepochází z oficiálního spouštěče, považujte to za malware.

Správci hesel a generátory

Jediná nejlépe využitá věc, kterou můžete udělat pro svou bezpečnost, je nainstalovat správce hesel a nechat jej vygenerovat náhodné 16znakové heslo pro každý účet. Silné výchozí hodnoty:

• Bitwarden, open-source, zdarma pro osobní použití, auditováno, synchronizuje se na všech platformách.
• 1Password, prémiová kvalita, vynikající rodinný plán, velmi rychlý na každém OS.
• KeePassXC, zcela offline, bez cloudu, ideální, pokud nechcete, aby třetí strana hostovala váš trezor.
• LastPass, dlouhodobě etablovaný a snadný pro začátečníky; vezměte v úvahu jeho historii porušení z roku 2022, než se zavážete.

Pokud raději generujete hesla ručně:

• Generátor hesel Bitwarden, funguje v jakémkoli prohlížeči, bez registrace.
• Generátor hesel Norton, přímočarý, důvěryhodná bezpečnostní značka.

Pro vlastníky serverů: druhá polovina rovnice

Hráči mohou dělat všechno správně a přesto se dostanou do problémů, pokud je sám server nezabezpečený. Pokud provozujete server Metin2, minimální operační kontrolní seznam je:

• DDoS ochrana před přihlašovacím a herním serverem. Odhodlaný konkurent může vypnout nechráněný server za cenu úterního odpoledne.
• Hašování hesel Bcrypt nebo Argon2 v databázi účtů, nikdy prostý text, nikdy MD5, nikdy SHA-1 bez soli. Pokud databáze unikne, náklady na prolomení by měly být dostatečně vysoké, aby to nestálo útočníkův čas.
• Ochrana botů na registraci a přihlašovacích koncových bodech. Bezplatný CAPTCHA vytvořený pro Metin2 blokuje skripty credential-stuffingu, které jsou #1 vektorem útoku proti účtům vašich hráčů.
• Offline zálohy databází, šifrované v klidu. Skupiny ransomwaru konkrétně cílí na malé operátory herních serverů, protože hráčská základna tlačí správce na zaplacení.
• 2FA pro účty zaměstnanců. Každý účet, který může přesouvat předměty, zakazovat hráče nebo číst databázi, musí být chráněn druhým faktorem. Kompromitovaný účet GM je horší než kompromitovaný účet hráče.
• Veřejný bezpečnostní kontakt na webu serveru, aby měli výzkumní pracovníci a hráči způsob, jak odpovědně nahlásit zranitelnosti.

Varovné signály: Rozpoznejte podvod dříve, než kliknete

Pokud se kterýkoli z nich shoduje se zprávou, která máte před sebou, odejděte:

• „Správce", „GM" nebo „moderátor" vám napíše o vašem účtu bez varování.
• Adresa URL má pomlčku nebo extra slovo, které skutečná doména nemá (např. metin2-pserver-login.com místo skutečného webu).
• Budete požádáni o vaše heslo, váš „token relace", váš e-mailový potvrzovací kód nebo vaše záložní kódy 2FA.
• Časovač vás tlačí, abyste jednali během 60 sekund, nebo „odměna vyprší".
• Stránka vás žádá, abyste zakázali svůj antivirus nebo „důvěřovali" nepodepsanému spustitelnému souboru.
• Účet přítele vám náhle pošle přihlašovací odkaz nebo přílohu „podívej se na toto video".

Závěr

Bezpečnost Metin2 se převážně týká vyhýbání se dvěma věcem: opakovanému použití hesel a důvěře v nežádané zprávy. Zbytek je přírůstková obrana do hloubky. Nainstalujte si dnes správce hesel, zapněte 2FA, kde můžete, udržujte svůj herní e-mail oddělený od svého skutečného e-mailu a považujte každého „GM", který vám napíše bez varování, za nepřátelského. Udělejte to a čas, který jste investovali do své postavy, zůstane tam, kde patří: na vaší postavě.