AML,  cybercrime,  GAMEDEV

Pranie pieniędzy w grach wideo

Wirtualna rzeczywistość

Zaczniemy od truizmu, ale powtórzymy go na początek dla porządku: środowisko wirtualne to narzędzie do prania pieniędzy. I żeby było jasne – nie chodzi o to, że jest ono szczególną jaskinią zła samo przez się, a o rzeczywistość, w której funkcjonujemy – od kontaktów (uwaga: to nie zawsze znaczy budowanie relacji), wymianę myśli, rozrywkę, czy wreszcie zakupy (w 2019 roku już ponad 60 % internautów robi zakupu w polskich e-sklepach, a ponad 20 % w e- sklepach zagranicznych).

Handel lootboxami i kluczami

Ostatnio głośny okazał się przypadek prania środków przy wykorzystaniu Counter Strike GO – więcej tutaj.

W popularnej strzelance funkcjonuje marketplace, który pozwala na wymianę kluczy do otwarcia lootboxów (pudełek z prezentami, w których gracz może znaleźć ulepszenie wizualne broni lub swojej postaci, tzw. skórki). Za realny cash na rynku można kupić tak same lootboxy, jak i klucze.

Reakcja

Valve (developer CSa) na ujawnienie informacji o wykorzystaniu produktu z jego stajni w przestępczych celach, odpowiada wzięciem pod lupę prawie wszystkich transakcji, oświadczając tak:

At this point, nearly all key purchases that end up being traded or sold on the marketplace are believed to be fraud-sourced.

Valve obiecuje również reakcje polegającą na wprowadzeniu modelu, w którym klucze będą powiązane z określonym kontem gracza i nie będą mogłyby być transferowane. Uszczelnienie na pewno ciekawe i wpisujące się w politykę dobrych praktyk, które podejmuje branża. Posiadanie procedur compliance nie powinno być tylko realizacją wymogów prawnych, a dobrymi praktykami w ochronie firmy (jej majątku oraz dobrego imienia).

Crypto

Pamiętacie, kiedy kantory walut wirtualnych dumnie ogłaszały, że stosują weryfikują swoich klientów (KYC) oraz posiadają procedury AML, czy procesy zarządzania oszustwami (fraud management)? Działo się to jeszcze przed dniem obowiązywania przepisów przeciwpraniowych, a chodziło nie tylko o bezpieczeństwo użytkownika, ale także zbudowanie zaufania do tego szczególnego rynku. Zaufania, które jest niezbędne dla Klientów.

AML a gamedev

Mikropłatności są przecież o tyle rozproszone i niewielkie, o ile nie czynią developera podmiotem, który podlegałby pod regulacje o usługach płatniczych czy przeciwpraniowe. Cały ciężar w takiej relacji bierze na siebie (dostawca usługi płatniczej, który pośredniczy przy transakcji). W takim stosunku studio gier może występować jako Akceptant (podmiot, który akceptuje określony rodzaj płatności.)

Akceptant mus być gotowy na to, że i od niego przed zawarciem umowy dostawca będzie wymagał pokazania beneficjenta rzeczywistego, czy procedur, które Akceptant posiada i które stosuje.

Mogłoby się wydawać, że jeśli za developera płatności przyjmuje ktoś inny, to niespecjalnie musi się on procedurami przejmować. Z powyższego wynika, że bynajmniej tak nie jest i jeśli developer woli, żeby za sprzedane licencje / przedmioty kwit do niego trafił, to powinien posiadać procedury: które: [I] pozwolą mu na współpracę z dostawcą usług płatniczych, [II] wzbudzą do niego zaufanie użytkowników.

Platformy do sprzedaży kodów dostępu

Takie platformy mogą być lubiane przez graczy-praczy.

Model polega na tym, że smart przestępca pierze pieniądze, np. pochodzące ze skompromitowanych kard kredytowych czy rachunków bankowych i kupuje za nie klucze dostępu do gier, na jednej z platform do wymiany takich dóbr. Potem, jak to w standardowym modelu bywa pieniądze trafiają do „centrum zarządzania”, a z problemem pozostaje dystrybutor gier, do których dostęp zbyto.

Charge back

Regulaminy dostawców usług płatniczych uszyte są tak, że w ramach procedury charge back, szybciutko możemy utrzymać zwrot środków. W każdym przypadku pod warunkiem, że płacimy przy wykorzystaniu karty. I tak dzieje się, np. przy oszukańczych zakupach w sieci (popularne dawniej na Allegro ziemniaki w kartonach po sportowych butach).

Ciekawym przykładem jest historia Tinybuild

Po prostu zrobiłem konto i w ciągu godziny byłem w stanie sprzedać tonę kluczy, bez jakiejkolwiek weryfikacji. Jeśli eBay pozwolił Ci sprzedawać towary bez weryfikacji danych uwierzytelniających sprzedawców (proszą Cię o dowody tożsamości, oświadczenia potwierdzające adresy, przywiązanie ich do Twojego konta bankowego itp.

To są słowa pochodzące od reprezentującego Tinybuild, który wskazał jak łatwo jest sprzedawać klucze do gier. Odformalizowane transakcji i sprawne transakcje to oczywiście łakomy kąsek dla smart przestępców.

Niezwykle niekorzystny także dla game developerów, a to z dwóch powodów: po [I] nie zarabiają na dostępach do ich własnych gier, [II] zdarza się, że gdy ujawniono skompromitowanie klucza jest on blokowany, a do developera zgłasza się użytkownik o zwrot ceny nabycia.

Skala

Choć mówimy tutaj o zagadnieniach trudnych do uchwycenia, to jednak możemy sobie wyobrazić, że przestępcom rynek gier wideo opłaca się wykorzystywać. Zobacz tylko, że Valve pochwaliło się 18 milionami unikalnych graczy w jednym miesiącu. Transakcja na marketplace może być warta kilka dolarów.

A taki Fortnite zarabia 3 miliardy dolarów w 2018 r. i przyciąga 200 milionów graczy.

Hide the trail…

Zadaniem przestępcy jest ukryć ślad. Do tego może dochodzić kombo z wykorzystaniem walut wirtualnych i bynajmniej nie idzie o samą działalność kantorów czy giełd wymiany crypto, a o narzędzia, których używa się do zamglenia śladów transacji. (mixery, które rozdrabniają transakcję na różne adresy czy rodzaje walut, które zapewniają anonimowość).

Samo środowisko gier wideo, w którym u podstaw mamy mikropłatności jest również atrakcyjne dla przestępców, bo choć płatności są mikro, to można wykonać ich nieograniczoną liczbę. Takie płatności są również trudniejsze do wykrycia i mogą nie interesować organów nadzoru.

Zauważ, że ten wątek jest zdecydowanie bardziej rozbudowany i wpisuje się w politykę zwalczania cyberprzestępczości, o której więcej pisałem tutaj.

Dobre praktyki

Generalnie można stwierdzić, że na rynku gier procedur nie ma.

In the case of online games, there are no anti-money laundering policies or algorithms to detect or prevent strange behavior [beyond the developer’s own efforts].

Jean-Loup Richet spec od cybersec w Orange, także doradca EUROPOLU

Przykładowo Epic Games (stajnia odpowiedzialna, m.in. za Fornite) stwierdza tak:

 We encourage players to protect their accounts by turning on two-factor authentication, not re-using passwords and using strong passwords, and not sharing account information with others.

To powyżej to pewien standard, który z uwagi na niewielką dojrzałość i wiek graczy zawsze warto powtórzyć, choć nie można powiedzieć, by rozwiązywał on problemy praniowe, które właśnie omawiamy.

Technologia w służbie prawu

Pędzący świat daje nam jasne wskazania, że realizacja dobrych praktyk, a tym bardziej obowiązków wynikających z coraz to bardziej wyśrubowanych regulacji sektorowych staje się nie do wykonania w sposób analogowy.

Dobrze pokazuje to omawiana w tym tekście branża, która charakteryzuje się dużą skalą mikropłatności. W takich sytuacjach skutecznym rozwiązaniem wydają się być algorytmy, które mogą analizować nietypowe zachowania graczy oraz tzw. ślad cyfrowy.

Oczywiście dobrym kierunkiem są także rozwiązania ukierunkowane na powiązanie określonego użytkownika z przedmiotem transakcji, i tak właśnie zrobiło Valve, zob. wstęp.

Ochrona najmłodszych

Kwestią bezprawnych zachowań na rynku gier wideo zajmował się również amerykański senator Josh Hawley, który przedstawił The Protecting Children from Abusive Games Act

When a game is designed for kids, game developers shouldn’t be allowed to monetize addiction. When kids play games designed for adults, they should be walled off from compulsive microtransactions. Game developers who knowingly exploit children should face legal consequences.

Nie bez racji podnosi on fakt ochrony dzieci, o manipulację którymi bardzo łatwo. Na pewno należy traktować to jako podstawowy wątek w debacie o relacji przepisów do rynku gier wideo, to jednak nie może on przysłaniać faktu, że wykorzystywanie wirtualnych rynków w grach wideo do prania pieniędzy dotyczy każdego użytkownika i to on powinien być zagadnieniem do rozwiązania.

Co warto zapamiętać?

  1. rynek gier wideo cieszy się coraz większą popularnością (polskie stajnie bardzo dobrze sobie radzą w eksporcie swoich produktów);
  2. pokolenie digital to nowy rodzaj użytkowników, ale także adresaci nowych zagrożeń (tak prawnych, jak i społecznych);
  3. w opisywanym w tym tekście modelu game developerzy nie są podmiotami obowiązanymi podlegającymi nadzorowi, czy na których ciążą szczególne obowiązki regulacyjne;
  4. na bezpieczeństwo rynku gier wideo a także zaufanie użytkowników mogą wpłynąć wprowadzane do branży dobre praktyki.

Źródła:

https://eizba.pl/wp-content/uploads/2019/07/raport_GEMIUS_2019-1.pdf
https://blog.infoarmor.com/employees/cybercriminals-use-fortnite-to-target-children-bank-accounts
https://www.pcgamer.com/how-microtransactions-and-in-game-currencies-can-be-used-to-launder-money/

credits:

Photo by Kelly Sikkema on Unsplash

Photo by Fredrick Tendong on Unsplash

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *