“Roblox” é uma plataforma de jogos composta por “Experiências” – nome dado para os mundos 3D criados por usuários – onde os jogadores podem interagir uns com os outros e com o ambiente. O criador, que pode ser qualquer usuário, constrói os cenários, a lógica do jogo, os itens e a interatividade geral da experiência.
O “Roblox” é gratuito para jogar, mas contém uma moeda no aplicativo chamada “Robux” que pode ser usada para comprar roupas, armas ou outros itens para o avatar de um usuário, alguns dos quais existem em quantidades limitadas e podem valer dezenas de milhares de dólares.
Os itens também podem ser trocados por outros itens ou Robux usando um sistema de negociação integrado. Isto cria um mercado potencialmente lucrativo e, embora a negociação com dinheiro real seja proibida pelos termos de serviço, alguns utilizadores negociam fora da plataforma e com dinheiro real.
Onde há potencial de lucro, também há pessoas tentando enganar outras pessoas. Os usuários de “Roblox” podem ser alvo de golpistas (conhecidos como “beamers” pelos jogadores de “Roblox”) que tentam roubar itens valiosos ou Robux de outros jogadores. Às vezes, isso pode ser facilitado para os golpistas por causa da base de usuários jovens do “Roblox”. Quase metade dos 65 milhões de usuários do jogo têm menos de 13 anos e podem não ser tão hábeis em detectar golpes.
A Cisco Talos, grupo de inteligência de segurança da Cisco, definiu as principais formas de atuação dos hackers na plataforma e dá algumas dicas de como evitar ser vítima de algum golpe.
O golpista envia uma mensagem usando o bate-papo do jogo “Roblox” ou outro aplicativo de mensagens para a vítima, oferecendo uma maneira de ganhar Robux grátis. Na variação mais comum desse golpe, o usuário recebe um link para uma página da web contendo temas ou imagens relacionadas ao “Roblox”.
O site oferece Robux gratuito à vítima e pede que ela insira seu nome de usuário e senha para que possa receber o Robux em sua conta. Após inserir seu nome de usuário e senha, em vez de receber o Robux, o golpista entra na conta da vítima e rouba todos os Robux e itens valiosos.
Phishing integrado
No Roblox, qualquer usuário pode criar experiências, inclusive golpistas. Nesse caso, o golpista cria uma experiência maliciosa que promete entregar Robux grátis e solicita que a vítima preencha um formulário com seu nome de usuário e senha.
As credenciais da vítima são enviadas para um servidor controlado pelo invasor, permitindo que faça login na conta do usuário e roube todos os Robux e itens valiosos.
Método JavaScript
O golpista pede às vítimas que copiem e colem um link contendo código JavaScript na barra de endereço do navegador. Existem muitas variações que usam esse método. Em uma variação comum, o golpista finge estar desenvolvendo uma experiência e pede ao usuário para usar sua imagem de avatar na experiência.
Para receber os detalhes do avatar automaticamente, o golpista pede que a vítima copie e cole o link que contém o código JavaScript na barra de endereços do navegador. Esse código então rouba o ID de sessão da vítima, permitindo que o golpista use a plataforma para fazer login na conta da vítima e transferir todos os itens e Robux da conta da vítima para a conta do golpista.
Método de marcador
Outra forma de atuação dos golpistas, de acordo com a Cisco Talos, é o método bookmark – uma variante do método JavaScript. Em vez de pedir à vítima para colar um link na barra de endereço, a vítima é solicitada a arrastar e soltar o favorito na barra de favoritos e clicar nele. O marcador contém código JavaScript que rouba o ID de sessão da vítima.
Método API
O golpista propõe uma negociação que geralmente é boa demais para ser verdadeira. Em seguida, o invasor afirma que antes de prosseguir com a negociação gostaria de verificar se os itens da vítima não foram roubados. Para isso, a vítima deve visitar uma página especial do Roblox e inserir um ID. Eles então oferecem à vítima o URL de uma página que na verdade faz parte do domínio Roblox.
Esta página faz parte da documentação da API Roblox e é usada pelos desenvolvedores para testar a API. Ao conversar com a vítima, o golpista cria uma solicitação de troca que, se aceita, transferiria todos os itens da vítima para o golpista. O golpista então envia esse ID para a vítima e a instrui a inserir o ID no formulário e clicar em “Experimentar”. Isso fará com que o usuário aceite uma troca com o ID especificado e transfira todos os seus itens e Robux para o golpista.
Método de arquivo HAR
O golpista se oferece para criar um GFX gratuito (uma versão realista em 3D do avatar da vítima) sob o pretexto de que eles estão aprendendo a fazer isso e poderiam usar a prática. Se a vítima aceitar, o golpista diz que precisa de um arquivo para concluir o desenvolvimento e entrega à vítima um tutorial ou vídeo explicando como obter o arquivo. O tutorial solicita que a vítima abra as ferramentas de desenvolvedor do navegador e salve a solicitação de rede como um arquivo HAR.
Depois de salvo, a vítima é orientada a enviá-lo ao golpista. Este arquivo contém o ID da sessão da vítima, o que permite ao golpista usar a plataforma logada na conta da vítima e roubar todos os itens e Robux.
Instalação de malware
Este método é tão simples quanto solicitar à vítima que instale algum software ou extensão do navegador como forma de receber Robux gratuitamente ou para ajudar o golpista a realizar algum desenvolvimento que seja do interesse da vítima.
O software instalado é um malware, projetado para roubar o ID de sessão da vítima, o que permite ao golpista usar a plataforma logada na conta da vítima e roubar todos os itens e Robux.