{"id":24954,"date":"2020-08-25T13:31:48","date_gmt":"2020-08-25T11:31:48","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24954"},"modified":"2020-08-27T11:38:04","modified_gmt":"2020-08-27T09:38:04","slug":"wow-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/wow-phishing\/24954\/","title":{"rendered":"Wie Cyberkriminelle Jagd auf WoW-Spieler machen"},"content":{"rendered":"

Battle.net-Accounts sind f\u00fcr Cyberkriminelle \u00e4u\u00dferst wertvoll. Wenn einer dieser Accounts gekapert wurde, k\u00f6nnen die Hacker auf gekaufte Spiele sowie auf Charaktere, Spielw\u00e4hrung und Gegenst\u00e4nden zugreifen. Doch wenn ein Spieler seinen Account jedoch richtig konfiguriert hat, kann die Kontaktaufnahme mit dem technischen Support helfen, die Kontrolle \u00fcber das Konto wiederzuerlangen und um den gestohlenen virtuellen Reichtum wiederherzustellen.<\/p>\n

Nichtsdestotrotz k\u00f6nnen Angreifer immer noch viele Unannehmlichkeiten bereiten, deshalb ist Vorsorge besser als Nachsorge. Damit auch Sie diese unangenehme Situation vermeiden k\u00f6nnen, werde ich Ihnen heute von meinem Experiment berichten. Mein Battle.net-Account und ich wurden n\u00e4mlich absichtlich Opfer eines Phishing-Angriffs in World of Warcraft Classic<\/em>!<\/p>\n

Die \u201eBizzard\u201c Kontodiebstahl-Masche<\/h2>\n

Phishing war in der urspr\u00fcnglichen Version von WoW ein ziemlich h\u00e4ufiges Problem. In dem k\u00fcrzlich erschienenen Reboot World of Warcraft Classic <\/em>war ich fast nie darauf gesto\u00dfen. Doch eines Tages lie\u00df mir ein Krieger namens \u201eBizzard\u201c eine Nachricht zukommen: \u201e[Blizzard Entertainment] GM: Versto\u00df \u2013 Missbrauch der Wirtschaft. Bitte besuchen Sie diese Seite: [www.blizzardwarcraft.com]. Andernfalls werden wir Ihr Konto sperren.\u201c<\/p>\n

\"Phishing-Nachricht

Phishing-Nachricht in World of Warcraft Classic.<\/p><\/div>\n

\u00a0<\/p>\n

Zu sagen, dass an dieser Botschaft etwas faul sei, w\u00e4re eine echte Untertreibung. Zun\u00e4chst einmal ist es schwer zu glauben, dass ein echter Gamemaster bei Blizzard Entertainment auf solche Verst\u00f6\u00dfe wie \u201eMissbrauch der Wirtschaft\u201c mit einem Charakternamen reagieren w\u00fcrde, der dem Namen des Unternehmens \u00e4hnlich, aber nicht identisch ist. Auch die Aufforderung, eine bestimmte Website besuchen zu m\u00fcssen, ist mehr als verd\u00e4chtig. Nur f\u00fcrs Protokoll, ich habe die geltenden Regeln nicht verletzt.<\/p>\n

Normalerweise ignoriere ich solche Nachrichten einfach, aber dieses Mal packte mich die Neugier. Daraufhin beschloss ich dieses spezielle Phishing-Schema und dessen Funktionsweise zu untersuchen. Zuerst \u00fcberpr\u00fcfte ich den Link mit Hilfe der whois-Dienste, weil ich wusste, dass die Domain nicht zu den Domains geh\u00f6rte, die Blizzard verwendet (wie z. B. blizzard.com, battle.net oder worldofwarcraft.com). Auch das Fehlen eines Sicherheitszertifikats stellte die Legitimit\u00e4t der Website in Frage.<\/p>\n

Wie ich schon vermutete, war die Domain blizzardwarcraft.com, die ich auf Wunsch des m\u00e4chtigen Bizzard besuchen sollte, erst seit weniger als einer Woche registriert. Au\u00dferdem versuchten die Angreifer nicht einmal, ihre Spuren zu verwischen: Die Domain wurde von jemandem aus der chinesischen Provinz Anhui \u00fcber das Hongkonger Domain-Name-Registrar \u201eHongkong Domain Name Information Management Co. Ltd.\u201c registriert.<\/p>\n

\"Ein

Ein Vergleich der Fake-Website (links) und der echten Blizzard-Seite (rechts).<\/p><\/div>\n

\u00a0<\/p>\n

Dennoch sieht die Phishing-Website \u00fcberzeugend echt aus. Ihr Erscheinungsbild ist der legitimen Anmeldeseite eu.battle.net recht \u00e4hnlich. Der etwas falsch geratene Schriftzug \u201eSecurity Check\u201c, s\u00e4t jedoch Zweifel. Wie Sie vielleicht schon vermuten, funktionieren die Anmeldeoptionen von Facebook und Google auch nicht. Allerdings f\u00fchren fast alle anderen Links auf dieser betr\u00fcgerischen Seite zu echten Blizzard-Sites. Die Weiterleitung ist jedoch nicht einheitlich: Einige f\u00fchren auf die europ\u00e4ische Blizzard-Site, andere auf die amerikanische Site.<\/p>\n

Ich beschloss also, meine Ermittlungen fortzusetzen, um genau zu sehen, wie die Angreifer die Kaperung meines Kontos fortsetzen w\u00fcrden. Direkt auf der gef\u00e4lschten Seite klickte ich auf den Link \u201eKostenlosen Blizzard-Account erstellen\u201c (was in Ordnung war, da der Link zur echten Blizzard-Seite f\u00fchrte), und registrierte einen neuen Account. Nachdem ich mich auf diese Weise auf mein Experiment vorbereitet hatte, \u00fcbergab ich den Angreifern mein neu erstelltes Konto und mein Passwort.<\/p>\n

Nachdem ich meine Anmeldedaten auf der gef\u00e4lschten Seite eingegeben hatte, baten mich die Ersteller der Website um eine kurze Verifikation, um mein Konto zu sch\u00fctzen. Dazu musste ich nat\u00fcrlich einen Verifizierungscode eingeben, der mir per E-Mail zugeschickt wurde. Dieser Code kam vom echten Blizzard Verifizierungssystem.<\/p>\n

Ich hatte diesen Schritt vorausgesehen, denn sobald ich meine Anmeldedaten auf der gef\u00e4lschten Seite eingegeben hatte, gaben die Angreifer sie sofort auf der echten Seite ein. Aber auch sie mussten einen Verifizierungscode eingeben. Diesen Code schickte Blizzard mir per E-Mail, aber die Angreifer mussten ihn von mir erhalten, um letztendlich Zugriff auf meinen Account zu erhalten. Nat\u00fcrlich spielte ich weiter mit und gab den Code auf der gef\u00e4lschten Seite ein.<\/p>\n

Zum Schluss baten sie mich aus irgendeinem Grund eine Geheimfrage zu beantworten. Um ehrlich zu sein, hatte ich bei diesem neuen Account keine Sicherheitsfrage. Aber keine Sorge: Ich war bereit, ihnen eine Antwort zu geben.<\/p>\n

\u201eSicherheits\u00fcberpr\u00fcfung\u201c auf der gef\u00e4lschten Blizzard-Website.<\/p><\/div>\n

\u00a0<\/p>\n

Daraufhin wurde mir mitgeteilt, dass ich die Sicherheits\u00fcberpr\u00fcfung erfolgreich bestanden habe. Wie zu erwarten war, hat sich zur gleichen Zeit jemand anderes in mein neues Konto eingeloggt (aufgrund der IP-Adresse befanden sich die Angreifer in Brandenburg, aber es ist unwahrscheinlich, dass sie tats\u00e4chlich von dort aus eine Verbindung hergestellt haben. Wahrscheinlich handelt es sich hierbei um einen Proxy-Server, ein VPN oder eine andere Methode, um den wahren Standort zu verschleiern.<\/p>\n

Zuerst loggte sich jemand \u00fcber die Battle.net-Anwendung ein und sp\u00e4ter nochmals \u00fcber die Webversion. Das lag wahrscheinlich daran, dass die Hacker keine World of Warcraft<\/em> Charaktere in meinem Battle.net-Account fanden und beschlossen, den Account mit der Web-Version zu \u00fcberpr\u00fcfen.<\/p>\n

\"K\u00fcrzlicher

K\u00fcrzlicher Login-Verlauf auf der echten Blizzard-Website.<\/p><\/div>\n

\u00a0<\/p>\n

Nach etwa zweieinhalb Stunden schickte mir Blizzard eine Benachrichtigung, dass mein Passwort wegen verd\u00e4chtiger Aktivit\u00e4ten zur\u00fcckgesetzt worden war. Anscheinend stellte die interne Verteidigung von Battle.net fest, dass sich jemand anderes Zugang zu meinem Account verschafft hatte und griff sicherheitshalber ein, um mich vor den Eindringlingen zu sch\u00fctzen. Wie Sie sehen k\u00f6nnen, leistet Blizzard eine ziemlich gute Arbeit, um seine Benutzer zu sch\u00fctzen.<\/p>\n

Wie man kein Opfer von Phishing-Angriffen in World of Warcraft<\/em> wird<\/h2>\n

Solche Phishing-Angriffe werden wahrscheinlich nicht die letzten in World of Warcraft Classic<\/em> sein. Um den Schaden zu minimieren und das Spiel nicht nur f\u00fcr sich selbst, sondern auch f\u00fcr andere sicherer zu machen, sollten Sie ein paar Dinge im Hinterkopf behalten:<\/p>\n