Wie Cyberkriminelle Jagd auf WoW-Spieler machen

Battle.net-Accounts sind für Cyberkriminelle äußerst wertvoll. Wenn einer dieser Accounts gekapert wurde, können die Hacker auf gekaufte Spiele sowie auf Charaktere, Spielwährung und Gegenständen zugreifen. Doch wenn ein Spieler seinen Account jedoch richtig konfiguriert hat, kann die Kontaktaufnahme mit dem technischen Support helfen, die Kontrolle über das Konto wiederzuerlangen und um den gestohlenen virtuellen Reichtum wiederherzustellen.

Nichtsdestotrotz können Angreifer immer noch viele Unannehmlichkeiten bereiten, deshalb ist Vorsorge besser als Nachsorge. Damit auch Sie diese unangenehme Situation vermeiden können, werde ich Ihnen heute von meinem Experiment berichten. Mein Battle.net-Account und ich wurden nämlich absichtlich Opfer eines Phishing-Angriffs in World of Warcraft Classic!

Die „Bizzard“ Kontodiebstahl-Masche

Phishing war in der ursprünglichen Version von WoW ein ziemlich häufiges Problem. In dem kürzlich erschienenen Reboot World of Warcraft Classic war ich fast nie darauf gestoßen. Doch eines Tages ließ mir ein Krieger namens „Bizzard“ eine Nachricht zukommen: „[Blizzard Entertainment] GM: Verstoß – Missbrauch der Wirtschaft. Bitte besuchen Sie diese Seite: [www.blizzardwarcraft.com]. Andernfalls werden wir Ihr Konto sperren.“

Phishing-Nachricht in World of Warcraft Classic.

Zu sagen, dass an dieser Botschaft etwas faul sei, wäre eine echte Untertreibung. Zunächst einmal ist es schwer zu glauben, dass ein echter Gamemaster bei Blizzard Entertainment auf solche Verstöße wie „Missbrauch der Wirtschaft“ mit einem Charakternamen reagieren würde, der dem Namen des Unternehmens ähnlich, aber nicht identisch ist. Auch die Aufforderung, eine bestimmte Website besuchen zu müssen, ist mehr als verdächtig. Nur fürs Protokoll, ich habe die geltenden Regeln nicht verletzt.

Normalerweise ignoriere ich solche Nachrichten einfach, aber dieses Mal packte mich die Neugier. Daraufhin beschloss ich dieses spezielle Phishing-Schema und dessen Funktionsweise zu untersuchen. Zuerst überprüfte ich den Link mit Hilfe der whois-Dienste, weil ich wusste, dass die Domain nicht zu den Domains gehörte, die Blizzard verwendet (wie z. B. blizzard.com, battle.net oder worldofwarcraft.com). Auch das Fehlen eines Sicherheitszertifikats stellte die Legitimität der Website in Frage.

Wie ich schon vermutete, war die Domain blizzardwarcraft.com, die ich auf Wunsch des mächtigen Bizzard besuchen sollte, erst seit weniger als einer Woche registriert. Außerdem versuchten die Angreifer nicht einmal, ihre Spuren zu verwischen: Die Domain wurde von jemandem aus der chinesischen Provinz Anhui über das Hongkonger Domain-Name-Registrar „Hongkong Domain Name Information Management Co. Ltd.“ registriert.

Ein Vergleich der Fake-Website (links) und der echten Blizzard-Seite (rechts).

Dennoch sieht die Phishing-Website überzeugend echt aus. Ihr Erscheinungsbild ist der legitimen Anmeldeseite eu.battle.net recht ähnlich. Der etwas falsch geratene Schriftzug „Security Check“, sät jedoch Zweifel. Wie Sie vielleicht schon vermuten, funktionieren die Anmeldeoptionen von Facebook und Google auch nicht. Allerdings führen fast alle anderen Links auf dieser betrügerischen Seite zu echten Blizzard-Sites. Die Weiterleitung ist jedoch nicht einheitlich: Einige führen auf die europäische Blizzard-Site, andere auf die amerikanische Site.

Ich beschloss also, meine Ermittlungen fortzusetzen, um genau zu sehen, wie die Angreifer die Kaperung meines Kontos fortsetzen würden. Direkt auf der gefälschten Seite klickte ich auf den Link „Kostenlosen Blizzard-Account erstellen“ (was in Ordnung war, da der Link zur echten Blizzard-Seite führte), und registrierte einen neuen Account. Nachdem ich mich auf diese Weise auf mein Experiment vorbereitet hatte, übergab ich den Angreifern mein neu erstelltes Konto und mein Passwort.

Nachdem ich meine Anmeldedaten auf der gefälschten Seite eingegeben hatte, baten mich die Ersteller der Website um eine kurze Verifikation, um mein Konto zu schützen. Dazu musste ich natürlich einen Verifizierungscode eingeben, der mir per E-Mail zugeschickt wurde. Dieser Code kam vom echten Blizzard Verifizierungssystem.

Ich hatte diesen Schritt vorausgesehen, denn sobald ich meine Anmeldedaten auf der gefälschten Seite eingegeben hatte, gaben die Angreifer sie sofort auf der echten Seite ein. Aber auch sie mussten einen Verifizierungscode eingeben. Diesen Code schickte Blizzard mir per E-Mail, aber die Angreifer mussten ihn von mir erhalten, um letztendlich Zugriff auf meinen Account zu erhalten. Natürlich spielte ich weiter mit und gab den Code auf der gefälschten Seite ein.

Zum Schluss baten sie mich aus irgendeinem Grund eine Geheimfrage zu beantworten. Um ehrlich zu sein, hatte ich bei diesem neuen Account keine Sicherheitsfrage. Aber keine Sorge: Ich war bereit, ihnen eine Antwort zu geben.

„Sicherheitsüberprüfung“ auf der gefälschten Blizzard-Website.

Daraufhin wurde mir mitgeteilt, dass ich die Sicherheitsüberprüfung erfolgreich bestanden habe. Wie zu erwarten war, hat sich zur gleichen Zeit jemand anderes in mein neues Konto eingeloggt (aufgrund der IP-Adresse befanden sich die Angreifer in Brandenburg, aber es ist unwahrscheinlich, dass sie tatsächlich von dort aus eine Verbindung hergestellt haben. Wahrscheinlich handelt es sich hierbei um einen Proxy-Server, ein VPN oder eine andere Methode, um den wahren Standort zu verschleiern.

Zuerst loggte sich jemand über die Battle.net-Anwendung ein und später nochmals über die Webversion. Das lag wahrscheinlich daran, dass die Hacker keine World of Warcraft Charaktere in meinem Battle.net-Account fanden und beschlossen, den Account mit der Web-Version zu überprüfen.

Kürzlicher Login-Verlauf auf der echten Blizzard-Website.

Nach etwa zweieinhalb Stunden schickte mir Blizzard eine Benachrichtigung, dass mein Passwort wegen verdächtiger Aktivitäten zurückgesetzt worden war. Anscheinend stellte die interne Verteidigung von Battle.net fest, dass sich jemand anderes Zugang zu meinem Account verschafft hatte und griff sicherheitshalber ein, um mich vor den Eindringlingen zu schützen. Wie Sie sehen können, leistet Blizzard eine ziemlich gute Arbeit, um seine Benutzer zu schützen.

Wie man kein Opfer von Phishing-Angriffen in World of Warcraft wird

Solche Phishing-Angriffe werden wahrscheinlich nicht die letzten in World of Warcraft Classic sein. Um den Schaden zu minimieren und das Spiel nicht nur für sich selbst, sondern auch für andere sicherer zu machen, sollten Sie ein paar Dinge im Hinterkopf behalten:

• In World of Warcraft erscheint immer ein spezielles Symbol neben dem Namen des Gamemasters (es sieht aus wie „BLIZZ“ in blau). Wenn Sie das Symbol nicht sehen, handelt es sich nicht um einen Gamemaster.
• Missbrauch der Wirtschaft sowie andere Verletzungen der Spielregeln führen immer zur Sperrung Ihres Kontos. Sie sind also kein legitimer Grund für eine „Sicherheitsüberprüfung“ Ihres Kontos.
• Es ist unwahrscheinlich, dass die Gamemaster Ihnen einen Link zu einer Drittanbieter-Ressource senden. Sie verfügen bereits über die Instrumente, die sie zur Bekämpfung von Verstößen benötigen. Um Ihre Konto-Inhaberschaft zu bestätigen, müssen sie lediglich Ihr Passwort zurücksetzen und denjenigen, der das Konto benutzt, aus dem Spiel werfen.
• Wenn sich ein Spieler mit dieser Art von Anfrage an Sie wendet, melden Sie das unangemessene Verhalten mit dem Formular von battle.net.
• Es ist hilfreich, den Sicherheits-Guide von Blizzard zu befolgen, um Ihren Account sicher zu halten. Dort ist alles übersichtlich und korrekt dargestellt: Wie man ein sicheres Passwort und eine Zwei-Faktor-Authentifizierung einrichtet, warum Sie Schutzsoftware benötigen, warum Updates wichtig sind und wie man eine angemessene Passwort-Hygiene anwendet.

Was die Schutzsoftware betrifft, empfehlen wir eine Sicherheitslösung, die Sie vor Spyware schützt, Phishing-Versuche erkennt und Kennwörter sicher speichert. Mit unserem dedizierten Spielmodus können Sie immer auf der sicheren Seite bleiben, ohne dabei Einbüßen in Gaming-Performance hinnehmen zu müssen.