Steam introduceert Limited User Accounts tegen misbruik
Het populaire speldistributieplatform Steam heeft een nieuwe maatregel tegen misbruik zoals phishing- en spamaanvallen op gebruikers aangekondigd, namelijk de verplichting voor Limited User Accounts om minimaal 5 dollar te besteden voordat ze bepaalde features kunnen gebruiken. Het gaat onder andere om het plaatsen van berichten, het gebruik van de chatfunctie en deelname aan de Steammarkt.
Volgens Valve, ontwikkelaar van Steam, moet de maatregel gebruikers tegen spam en phishing beschermen. Steam heeft wereldwijd 125 miljoen gebruikers. Via het platform kunnen gebruikers allerlei games en digitale voorwerpen kopen. Sommige onderzoeksbureaus stellen dat 75% van alle pc-games via Steam worden verkocht. Steamaccounts met veel spellen of digitale goederen zijn dan ook een geliefd doelwit van cybercriminelen, die gebruikers vaak via de chatfunctie of andere onderdelen van het platform benaderen.
"Kwaadwillende gebruikers maken vaak gebruik van accounts die geen geld hebben uitgegeven, wat het risico verkleint van de acties die ze uitvoeren", aldus Valve. Het bekijken van de aankoopgeschiedenis zou één van de belangrijkste manieren zijn om normale gebruikers van kwaadwillende gebruikers te onderscheiden. Kwaadwillende gebruikers zouden namelijk niet om de levensduur van hun account geven.
Daarom is er nu besloten om de limiet van 5 dollar in te voeren voordat accounts van alle functionaliteiten gebruik kunnen maken. Steamgebruikers zijn blij dat er iets tegen de scams op het platform wordt gedaan, maar er zijn ook kritische geluiden van mensen die bijvoorbeeld alleen fysieke pc-spellen kopen en niets op Steam uitgeven, zo blijkt uit de levendige discussie op Reddit.
Ik heb het even op een servetje uitgerekend:
Volgens het eerste de beste Google resultaat dat ik heb gevonden (http://www.zdnet.com/article/how-many-people-fall-victim-to-phishing-attacks/) trapt 0,000564% van de klanten in één enkele phishing aanval bij banken. Ik ga er voor het gemak maar even van uit dat dit cijfer betrouwbaar is ook voor Steamgebruikers opgaat.
Als we zeggen dat een spambot 1000 gebruikers via de chat kan bereiken (volledig uit mijn duim gezogen) voordat deze geblokkeerd wordt, zal per bot gemiddeld 0,00564 gebruiker toe zal happen. Omdat de spambot $5 aan Steam producten heeft gekost, moet deze gebruiker minimaal $886,52 aan verhandelbare digitale goederen beschikken om de bots break-even te laten draaien. Dat is dan nog exclusief de kosten van de servers en mankracht om de bots aan te kunnen sturen.
Als mijn berekening correct is, lijkt het mij een stuk minder aantrekkelijk om op Steam te gaan phishen.
Als mijn berekening correct is, lijkt het mij een stuk minder aantrekkelijk om op Steam te gaan phishen.
Dat had je ook kunnen zeggen zonder berekening. ;)
Ze mogen nog wel even uitleggen waarom ze niet bewijs van aanschaf voor een in een winkel gekocht spel accepteren. Ze zeggen tenslotte dat ze phishers van spelende gebruikers willen scheiden, en steam is ondertussen al lang niet meer alleen maar een verkoopkanaal. Deze selectiviteit doet wel af aan hun eigen argumenten, en dus hebben ze wat uit te leggen.
Als mijn berekening correct is, lijkt het mij een stuk minder aantrekkelijk om op Steam te gaan phishen.
Dat had je ook kunnen zeggen zonder berekening. ;)
Dan is zijn argument niet echt onderbouwd
Maar nu zal het wel een stuk lastiger worden voor Valve om vissers te herkennen, aangezien hun accounts meer gaan lijken op die van legitieme betaalde gebruikers. Nu zal Valve accounts van betaalde gebruikers moeten gaan sluiten (of privileges ontzeggen) als die zich bezighouden met vissen.
Aan de andere kant kun je nu wel de betaalgegevens van vissers zien. En bijvoorbeeld hun credit cards weren als ze betrapt worden, en op deze manier nog een drempel opwerpen.
We worden steeds harder om onze financieele data geplukt, bijvoorbeeld onder het mom "terrorismebestrijding", maar veiliger worden we er niet van. Wel erg moe.
Daarnaast kun je ondertussen uit de praktijk ook wel redelijk duidelijk stellen dat eigenlijk alle plannetjes die primair op identiteit leunen om bijvoorbeeld fraude tegen te gaan vooral meer slachtoffers maken dan strikt noodzakelijk. En dus eigenlijk bij voorbaat al ondermaats geacht moeten worden.
* Er was zelfs een Duits bedrijf dat hier een verdienmodel op bouwde: Bestel een ringtone voor een paar euro per SMS, blijkt het een maandelijkse afschrijving te zijn. Het leverde Jamba! miljoenen op.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.