Social Engineering

So nehmen Cyberkriminelle Gamern Steam-Accounts ab

(Bild: stock.adobe.com, krone.at-Grafik)

Das kalifornische IT-Security-Unternehmen Malwarebytes warnt Gamer vor einer Social-Engineering-Masche, bei der Cyberkriminelle Nutzern des PC-Spieledienstes Steam die Zugangsdaten zu ihren Konten herauslocken. Fällt man darauf herein, drohen der Verlust der Spielebibliothek und im schlimmsten Fall auch finanzieller Schaden.

Am hauseigenen Blog spielt Malwarebytes durch, wie die Masche typischerweise abläuft: Zunächst erhält die Zielperson auf Steam eine Nachricht eines anderen Nutzers - meist handelt es sich dabei um bereits gekaperte Konten, mit denen die Kriminellen an ihr nächstes Opfer herantreten. Von dem Nutzer erhält das Opfer die Mitteilung, er habe ihn aus Versehen wegen eines Regelverstoßes gemeldet und er müsse sich deshalb mit einem Steam-Administrator in Verbindung setzen.

Im nächsten Schritt benennen die Betrüger den angeblichen Steam-Admin auf der Spieleplattform und legen dem Opfer nahe, doch gleich über den Gamer-Chat Discord Kontakt zu ihm aufzunehmen, sollte die für eine Kontaktaufnahme auf Steam erforderliche Freundschaftsanfrage unbeantwortet bleiben. Da kein Regelverstoß vorliegt und das verlinkte Profil mitunter schlicht einem Steam-Mitarbeiter gehört, der keine Kontaktanfragen erwartet, kontaktieren viele Opfer den falschen Admin in Folge über Discord.

Valves Spiele-Markt Steam ist die größte Plattform ihrer Art am PC.

(Bild: store.steampowered.com)

Opfern werden Zugangsdaten herausgelockt
Tritt dieser Fall ein, sind die Kriminellen schon fast am Ziel. Der angebliche Administrator auf Discord, bei dem es sich wohl oft schlicht um den Scammer handelt, der den Erstkontakt aufgebaut hat, stellt ernst wirkende Fragen und behauptet, er müsse sich den Account genauer ansehen, um dem Nutzer helfen zu können. Er manipuliert sein Gegenüber, damit dieses sich von seinem Steam-Account ausloggt. Anschließend lockt er ihm die E-Mail-Adresse heraus.

Gibt das Opfer anschließend noch, wie gewünscht, den Einmal-Code weiter, den man beim Steam-Login auf die hinterlegte Mailadresse geschickt bekommt, hat der Betrüger alles, was er braucht. Über die „Passwort vergessen“-Funktion kann er das Konto kapern - inklusive aller Spiele in der Spielebibliothek, womöglich sogar inklusive Zahlungsinformationen, mit denen er nun auf Spiele-Shopping-Tour gehen kann.

Bei Social-Engineering-Attacken gegen Steam-User erbeuten Cyberkriminelle wertvolle Spielebibliotheken, oft sind auch Zahlungsdaten hinterlegt.

(Bild: stock.adobe.com)

Betrügerei seit 2018 bekannt
Die Betrügerei gibt es in verschiedenen Varianten mindestens seit 2018, früher wurde sie vor allem genutzt, um virtuelle Gegenstände zu erbeuten. Mittlerweile werden auf diesem Wege aber auch vermehrt Konten gekapert, berichtet Malwarebytes. Das ist auch kein Wunder: Langjährige Gamer haben oft Dutzende Spiele in ihrer Steam-Bibliothek, womit ihr Benutzerkonto bares Geld wert ist. Auch die bei Steam hinterlegten Zahlungsdaten sind für Cyberkriminelle überaus interessant.

Steam-Mitarbeiter fragen nicht nach Login-Code
Malwarebytes stellt klar: Auf Steam gibt es zwar wirklich Profile von Mitarbeitern bei Betreiber Valve, die auch tatsächlich als Administrator tätig sein können und mit eigenen Plaketten gekennzeichnet sind. Diese offiziellen Mitarbeiter würden aber niemals über einen externen Dienst wie Discord mit Kunden kommunizieren. Sie würden auch keinem anderen Nutzer auftragen, einem Spieler mitzuteilen, er möge sich beim Administrator melden. Außerdem würden sie niemals nach den Login-Codes fragen, die man per Mail oder über die Steam-App beim Login-Versuch aufs Handy geschickt bekommt. Mit diesem Wissen im Hinterkopf erkennen Gamer etwaige Betrugsversuche, bevor sie geschädigt werden.