Metin2 Güvenliği: Hesabınızı, Zamanınızı ve Eşyalarınızı Nasıl Koruyacaksınız

Çoğu Metin2 oyuncusu hesap güvenliğinin başka birinin sorunu olduğunu düşünür, ta ki bir sabah giriş yaptıklarında karakterlerinin soyulmuş, yanglarının boş ve karakter silme sayacının çalışıyor olduğunu görene kadar. Bu rehber bir Metin2 hesabı tehlikeye girdiğinde gerçekte ne olduğunu, saldırganların gerçekten kullandığı saldırı yüzeyini ve devralmaların %99'unu engelleyen küçük bir alışkanlıklar setini kapsar.

Metin2 Hesapları Neden Savunmaya Değer Bir Hedef

Oyuncular bir Metin2 hesabının bir hırsız için ne kadar çekici olduğunu hafife alırlar. İki yıllık ilerlemeye sahip bir karakter, genellikle oyuncunun oyun Discord'u, e-postası ve yarım düzine başka oyun hesabı için kullandığı aynı şifrenin arkasında oturur. İçindeki eşyaların finansal değeri gerçektir: yüksek seviye ekipman, nadir kostümler, Dragon Alchemy Stones ve çiftlik dungeon düşüşleri her aktif sunucunun karaborsa pazarında oyuncular arasında gerçek para için işlem görür. Bir hesabı kıran bir saldırgan bir saat içinde onlarca ila yüzlerce euro değerinde eşya ile ayrılır.

Ve bu sadece eşyalar değil. Tehlikeye giren bir Metin2 hesabı daha geniş dijital hayatınıza giriş noktasıdır: ona bağlı e-posta, giriş yaptığı Discord sunucuları, ilgisiz hizmetler için şifre sıfırlama zincirleri. Güvenliğe harcamadığınız saat, yarım düzine hesap arasında haftalarca temizlik yapmanıza mal olabilir.

Bir Hesap Çalındığında Gerçekte Ne Olur

Tipik bir Metin2 hesabı devralmasının zaman çizelgesi çoğu oyuncunun fark ettiğinden daha hızlıdır:

• 0 ila 5. dakika: saldırgan sızdırılan şifre ile giriş yapar, hesap şifresini değiştirir, bazen sunucu onay olmadan izin veriyorsa kayıtlı e-postayı değiştirir.
• 5 ila 30. dakika: tüm likit eşyalar (ekipman, yang, eşyalar, kostümler, pazarlanabilir tüketim maddeleri) doğrudan ticaret, 1 yang fiyatlandırılmış pazar listeleri veya loncaya depolama düşüşleri yoluyla bir mule hesabına taşınır.
• 30 ila 60. dakika: yüksek değerli ekipman soyulur, bazen saldırgan bir hırsızlık işi yerine sabotaj işi yapıyorsa yok edilir.
• 1. saat ve sonrası: temizlenmiş karakter arkadaş listenizi "hızlı bir koşu için X ödünç ver" mesajları, sahte eşya-ticaret davetleri, güvenilir bir kişiden geliyormuş gibi görünen özel DM yoluyla gönderilen kimlik avı bağlantıları ile dolandırmak için kullanılır.

Fark edip desteğe başvurduğunuzda, iz genellikle soğuk olur. Çoğu sunucu yöneticisi eşyaları yalnızca dar bir pencere içinde geri alabilir ve meşgul sunucularda günde birkaç bu tür raporu işliyorlar. Ders: kurtarabilmeye güvenmeyin. Devralmaları önleyin.

Metin2 Hesapları Nasıl Tehlikeye Girer

Şifre yeniden kullanımı ve kimlik bilgisi doldurma

Bu, Metin2 hesaplarının ele geçirilmesinin #1 yoludur. 2017'de küçük bir foruma Metin2 hesabınız için hala kullandığınız aynı şifre ile kaydoldunuz. O forumun veritabanı sızdırıldı. Yıllar sonra, bir saldırgan sızıntıyı indirir ve bulabildiği her oyun sunucusuna karşı her kullanıcı adı/şifre çiftini dener. Metin2 hesabınızın kendi güvenliğinde hiçbir sorun yoktur; başka bir yerdeki ilgisiz bir ihlal nedeniyle ölür.

Oyun içi ve Discord'da kimlik avı

Klasik Metin2 kimlik avı akışı: bir yabancı "GM size ödül vermek istiyor, talep etmek için buraya giriş yap" diye fısıldar veya bir Discord botu sunucunun resmi yöneticisini taklit ederek size sahte bir giriş bağlantısı DM'ler. Sayfa gerçek olanla aynı görünür. Kimlik bilgilerinizi girersiniz. Saldırgan içeridedir. Gerçek GM'ler asla oyunculara giriş, şifre veya "doğrulama kodu" isteyerek DM atmaz. Her talep edilmemiş "GM iletişimini" varsayılan olarak düşmanca olarak değerlendirin.

Kötü amaçlı istemciler ve resmi olmayan araçlar

Otomatik loot botları, mini-harita modları, "ücretsiz şapka" yamaları, rastgele Discord sunucularından indirilen değiştirilmiş istemciler: bunların tümü kimlik bilgisi çalan kötü amaçlı yazılım için popüler dağıtım araçlarıdır. Saldırgan sizi kimlik avı yapması gerekmez eğer siz ona bir tuş kaydedici ve ekran yakalayıcı verirseniz. Oynadığınız sunucu tarafından yayınlanan resmi istemciye bağlı kalın.

Ticaret ve hesap paylaşımı dolandırıcılığı

"Bir dungeon için hesabını ödünç ver, sana düşüşü alırım." "Kostümü ayarlamama yardımcı olması için şifreni paylaş." Her hesap paylaşımı teklifi iki şekilde biter: arkadaş dostça kalır ve hiçbir şey olmaz, veya arkadaş düşmanca hale gelir (veya hesabı siz olarak giriş yapılırken hacklenir) ve her şeyi kaybedersiniz. Paylaşmanın beklenen değeri negatiftir. Yapma.

Derinlemesine Savunma Kontrol Listesi

Aşağıdaki öğelerin hiçbiri kendi başına kurşun geçirmez değildir. Birleştirildiğinde, bir devralma o kadar maliyetli hale gelir ki saldırganlar daha kolay hedeflere geçerler:

• Hesap başına benzersiz şifre. Metin2 şifreniz e-posta şifreniz, Discord şifreniz, diğer oyun şifreniz veya başka herhangi bir yerde kullandığınız herhangi bir şifre olmamalıdır. Bir şifre yöneticisi kullanın (aşağıda öneriler) böylece on ikiyi hatırlamanız gerekmez.
• Desteklenen her yerde 2 faktörlü kimlik doğrulama. Birçok sunucunun başlatıcı hesabı ve çoğu e-posta sağlayıcısı (Gmail, Outlook, ProtonMail, Yandex) Authy, Aegis veya Google Authenticator gibi bir uygulama aracılığıyla TOTP kodu eklemenize izin verir. Açın. 2FA korumalı bir hesap tam şifre sızıntısından bile kurtulur.
• Özel oyun e-postası. Yalnızca oyun hesapları için kullandığınız bir adres oluşturun. Bu posta kutusu tehlikeye girerse, hasar yarıçapı oyunlarla sınırlıdır; banka ve iş e-postanız güvende kalır.
• Asla oyun içi giriş bağlantılarına tıklamayın. Gerçek yöneticiler sizi yalnızca resmi sunucu URL'sine yönlendirir. Manuel olarak yazın veya bir yer imini kullanın. Yabancılar tarafından gönderilen URL kısaltıcıları ve Discord yönlendirmeleri %95 kimlik avıdır.
• Giriş yapmadan önce SSL asma kilidini kontrol edin. Her meşru Metin2 sunucusunun giriş sayfası geçerli bir sertifika ile HTTPS üzerinden sunulur. Kilit simgesi eksikse veya tarayıcı sertifika hakkında uyarı veriyorsa, sekmeyi kapatın ve URL'yi doğrulayın.
• Paylaşmayın. Asla. Hesap paylaşımı arkadaşa ne kadar güvenseniz de güvenlik modelini bozar. Onların PC'si tehlikeye girebilir, onlar olmasa bile.
• Tetiklemediniz şifre sıfırlama e-postalarını izleyin. Biri gelirse, hemen şifrenizi değiştirin; birisi kırılmaya çalışıyor.
• Resmi olmayan istemciler ve "ücretsiz eşya" araçlarından kaçının. Bir indirme Metin2 klasörünüzdeki dosyaları değiştirmek istiyorsa ve resmi başlatıcıdan gelmiyorsa, bunu kötü amaçlı yazılım olarak değerlendirin.

Şifre Yöneticileri ve Oluşturucuları

Güvenliğiniz için yapabileceğiniz en yüksek kaldıraçlı şey bir şifre yöneticisi kurmak ve hesap başına rastgele 16 karakterlik bir şifre oluşturmasına izin vermektir. Güçlü varsayılanlar:

• Bitwarden, açık kaynak, kişisel kullanım için ücretsiz, denetlenmiş, her platform arasında senkronize olur.
• 1Password, premium parlatma, mükemmel aile planı, her işletim sisteminde çok hızlı.
• KeePassXC, tamamen çevrimdışı, bulut yok, herhangi bir üçüncü tarafın kasanızı barındırmasını istemiyorsanız ideal.
• LastPass, uzun süredir kurulmuş ve yeni başlayanlar için kolay; taahhüt etmeden önce 2022 ihlal geçmişini not edin.

Şifreleri manuel olarak oluşturmayı tercih ederseniz:

• Bitwarden'ın çevrimiçi oluşturucusu, herhangi bir tarayıcıda çalışır, kaydolmaya gerek yok.
• Norton Şifre Oluşturucu, basit, güvenilir güvenlik markası.

Sunucu Sahipleri İçin: Denklemin Diğer Yarısı

Oyuncular her şeyi doğru yapabilir ve sunucunun kendisi güvensizse yine de ele geçirilebilir. Bir Metin2 sunucusu işletiyorsanız, asgari operasyonel kontrol listesi:

• Giriş ve oyun sunucularının önünde DDoS koruması. Kararlı bir rakip, korumasız bir sunucuyu Salı öğleden sonrasının maliyeti için çevrimdışı alabilir.
• Hesap veritabanında Bcrypt veya Argon2 şifre hashleme, asla düz metin, asla MD5, asla tuzlanmamış SHA-1. Veritabanı sızdırılırsa, kırmanın maliyeti saldırganın zamanını harcamaya değmeyecek kadar yüksek olmalıdır.
• Kayıt ve giriş uç noktalarında bot koruması. Metin2 için tasarlanmış ücretsiz bir CAPTCHA, oyuncularınızın hesaplarına karşı #1 saldırı vektörü olan kimlik bilgisi doldurma komut dosyalarını engeller.
• Şifreli, site dışı veritabanı yedekleri. Fidye yazılımı grupları özellikle küçük oyun sunucusu operatörlerini hedefler çünkü oyuncu tabanı yöneticiyi ödemeye zorlar.
• Personel hesapları için 2FA. Eşya taşıyabilen, oyuncu yasaklayabilen veya veritabanını okuyabilen her hesap ikinci bir faktörün arkasında olmalıdır. Tehlikeye giren bir GM hesabı, tehlikeye giren bir oyuncu hesabından daha kötüdür.
• Genel güvenlik iletişimi sunucunun web sitesinde, araştırmacılar ve oyuncuların güvenlik açıklarını sorumlu bir şekilde açıklaması için bir yolu olması için.

Kırmızı Bayraklar: Tıklamadan Önce Dolandırıcılığı Tanıyın

Bunlardan herhangi biri karşınızdaki mesajla eşleşiyorsa, uzaklaşın:

• Bir "yönetici", "GM" veya "moderatör" hesabınız hakkında aniden size DM atar.
• URL'de gerçek etki alanının sahip olmadığı bir tire veya ekstra sözcük vardır (örneğin metin2-pserver-login.com gerçek site yerine).
• Şifreniz, "oturum belirteciniz", e-posta onay kodunuz veya 2FA yedek kodlarınız istenir.
• Bir zamanlayıcı 60 saniye içinde hareket etmeye veya "ödül sona erer" zorluyorsa.
• Sayfa antivirüsünüzü devre dışı bırakmanızı veya imzasız bir yürütülebilir dosyaya "güven" vermenizi isterse.
• Bir arkadaşın hesabı aniden size bir giriş bağlantısı veya "bu videoyu izle" eki DM'ler.

Sonuç

Metin2 güvenliği çoğunlukla iki şeyden kaçınmakla ilgilidir: şifreleri yeniden kullanmak ve talep edilmemiş mesajlara güvenmek. Geri kalanı derinlemesine artımlı savunmadır. Bugün bir şifre yöneticisi kurun, yapabildiğiniz yerde 2FA açın, oyun e-postanızı gerçek e-postanızdan ayrı tutun ve size aniden fısıldayan her "GM"yi düşmanca olarak değerlendirin. Bunu yapın ve karakterinize yatırdığınız zaman tam olarak ait olduğu yerde kalır: karakterinizde.