Die Statistik zeigt, dass Anwender die Gefahr, die von Viren und Cyber-Kriminellen ausgeht, unterschätzen.
- Nur 15% der Anwender sind sich bewusst, dass sie zur Zielscheibe von Cyber-Kriminellen werden können.
- Jeder Dritte hält finanzielle Verluste aufgrund von Cyber-Angriffen für unwahrscheinlich.
- Die absolute Mehrheit ist der Meinung, dass Ihre Daten für Dritte überhaupt nicht interessant sind!
Eine besonders interessante Zielgruppe für Cyber-Kriminelle sind Online-Spieler, die den Virenschutz auf Kosten einer höheren Leistungsfähigkeit ihrer Rechner fallen lassen.
Wer ist in der Online-Spielwelt den Angriffen von Cyber-Kriminellen ausgesetzt?
Online-Spieler lassen sich in Gruppen aufteilen:
- Megafans und Profis: Sie verfügen in der Regel über große Mengen an Artefakten.
- Einfache Spieler (die Spiele stellen für sie ein Umfeld dar, in dem sie relaxen und vom Alltag abschalten können): Ihre Konten und Rechner sind für die Lancierung von Angriffen gut geeignet.
- Wenn Kinder Online-Spiele mögen, können die Geldbeutel ihrer Eltern leicht ausgenommen werden. Gerade Einsteiger bekommen gestohlene Artefakte „gratis“.
Achtung!
Sehr oft ignorieren Kinder Empfehlungen für ihre IT-Sicherheit und wollen das Verbotene versuchen. Deshalb muss der Dr.Web Kinderschutz zum Vorbeugen von Datenverlusten und Infektionen immer aktiviert sein!
Die von Doctor Web gesammelten Erfahrungen zeigen, dass die Gefahren von Viren und Cyber-Kriminellen Realität sind!
Viren sind dank… Viren entstanden!
Es ist unglaublich aber wahr, dass einer der ersten Schädlinge der Trojaner Pervading Animal war. Der Trojaner sollte einem Benutzer mitteilen, welches Tier er sich gerade überlegt hat. Der Schädling enthielt aber einen Fehler: neuere Versionen wurden oberhalb der alten installiert und die Festplatte war voll. Pervading Animal verbreitete sich über seine Opfer und führte unbekannte Aktionen durch.
Was wird gestohlen?
Cyber-Kriminelle geben sich immer Mühe, wenn sie sehen, dass sie bei Benutzerkonten und Artefakten etwas stehlen und wiederverkaufen können.
Was interessiert Spieler?
- Bessere Konten bzw. der Kauf von Konten fortgeschrittener Anwender.
- Spieler mit den meisten Fertigkeiten und Erfahrungen, Spielartefakten und Möglichkeiten. Je mehr Erfahrungen, desto höher ist der Preis eines Benutzerkontos.
- Der Kauf, Verkauf und Umtausch von Sachen gegen reales Geld.
Artefakte und Benutzerkonten der Spieler weltweit sind eine Zielscheibe für Übeltäter.
Wenn man den Wert von Konten und Artefakten berücksichtigt, sind Spieler und ihre Wertsachen eine attraktive Zielscheibe für Cyber-Kriminelle.
Wie helfen Viren & Co. den Übeltätern, Konten der Benutzer zu stehlen?
Beispiel eines Trojaners für Artefakten-Diebstahl
Trojan.SteamLogger.1 soll bei Spielern von Dota 2, Counter-Strike: Global Offensive und Team Fortress 2 wertvolle Artefakte klauen. Der Trojaner wurde von Doctor Web im Oktober 2014 entdeckt.
Nachdem das Hauptmodul von Trojan.SteamLogger.1 startet und sich initialisiert, sucht er im Hauptspeicher nach dem Prozess Steam und prüft, ob sich der Benutzer eingeloggt hat. Wenn dies nicht der Fall ist, wartet der Schädling, bis sich der Benutzer angemeldet hat. Danach fischt der Bösewicht bei Steam (SteamGuard, steam-id, security token) nach dessen Kontodaten und leitet diese an die Übeltäter weiter. Als Antwort erhält er eine Liste von Benutzerkonten, auf die geklaute Artefakte übertragen werden können. Trojan.SteamLogger.1 achtet darauf, ob der Spieler seine wertvollen Sachen verkaufen will und hindert ihn daran, indem Artikel sofort aus dem Verkauf genommen werden.
Alle geklauten Daten sendet der Trojaner den Übeltätern zu und prüft danach, ob in den Steam-Einstellungen die automatische Anmeldung aktiviert ist. Wenn sie deaktiviert ist, startet ein Keylogger, der Daten schnell abfängt und jede 15 Sekunden an die Übeltäter weiterleitet.
Trojan.SteamLogger.1 verbreitet sich über Foren oder im Steam-Chat unter dem Deckmantel eines Verkäufers von Benutzerkonten.
Wie profitieren Übeltäter von geklauten Benutzerkonten?
- Verkauf des Benutzerkontos: In den meisten Fällen versuchen die Übeltäter, das geklaute Benutzerkonto illegal über einen Online-Shop zu verkaufen.
- Klau und Verkauf von Artefakten: Die Übeltäter können alle geklauten Artefakte auf ein anderes Benutzerkonto übertragen und wieder verkaufen.
- Betrügerische Kredite: Neue Account-Inhaber nutzen das Vertrauen ihrer Mitspieler aus, indem sie sich Geld von ihnen leihen oder die Gilde-Bank überfallen. Dies führt zu einem beschädigten Ruf, einem Verbot für den Zugriff auf den Game-Server und psychischen Traumata.
- Verbreitung von Phishing-Links: Phishing-Links werden im Namen des Account-Inhabers verschickt, indem z.B. Aktionen des Spieleherstellers angekündigt werden. Dafür verlangt man von den Benutzern, dass sie sich mit ihren Benutzerdaten registrieren. Außerdem werden andere Programme, die die Besucherzahl von Webseiten durch Betrug steigern können, verbreitet. Dies sind meist Viren & Trojaner.
- Erpressung: Das Eigentum des Spielers stellt einen Wert für ihn dar. Nicht selten wird das Benutzerkonto gesperrt und Geld für das Entsperren verlangt.
Wie werden die Rechner der Spieler infiziert?
Verbreitung von Trojanern zum Zwecke der Infizierung.
Die Übeltäter verschicken Links zu Phishing- und kriminellen-Webseiten u.a. im Rahmen der vermeintlichen Aktion des Herstellers. Die potenziellen Opfer müssen sich auf dieser Webseite mit ihren Benutzerdaten registrieren. Dies kann auch die Werbung für Programme sein, die die Benutzer-Performance der Webseite verbessern kann. Vor allem Kinder fallen diesen Techniken häufig zum Opfer.
Steam-Geldbörsen für den Kauf von Spielen. Um an die Geldbörse der Opfer zu kommen, setzen Übeltäter Phishing-Methoden ein. An Twitch-Benutzer werden z.B. Lotto-Angebote verschickt. Es wird damit geworben, dass die Spieler neue Artefakte für CounterStrike (Global Offensive) gewinnen können. Sobald der Schädling den Zugang zum Steam-Konto erhält, macht der Trojaner Screenshots, fügt neue Freunde hinzu und kauft selbständig (!) neue Artefakte mit dem vorhandenen Steam-Geld. Nach dem Diebstahl wird er auf Steam Community Market mit bis zu 35% Rabatt versteigert.
Die Cyber-Kriminellen nutzen Gewohnheiten der Benutzer von u.a. Twitch aus, welcher zu einer beliebten Plattform wurde. Viele Streamer konnten ihre Anhänger legal anwerben. Es gab aber auch solche, die Botnets zur Anwerbung von neuen Anhängern eingesetzt haben.
Beispiel eines Schädlings, der es auf Steam abgesehen hat
Ende August 2014 zeigten Benutzer der Steam-Plattform verschwundene Artefakte und Ressourcen an. Für den Diebstahl sorgte Trojan.SteamBurglar.1, der von Cyber-Kriminellen durch Chat-Nachrichten verbreitet wurde. Den Spielern wurde u.a. vorgeschlagen, sich Waffen-Screenshots zum Verkauf oder Tausch anzusehen. Diese Angebote wurden dem Benutzer des infizierten PCs von Trojan.SteamBurglar.1 vor Augen geführt. Währenddessen suchte der Schädling im Hauptspeicher nach steam.exe, holte wertvolle Daten heraus, klaute diese und leitete sie auf ein anderes Benutzerkonto weiter.
Achtung!
Dank Servern, die durch Spieler selbst eingerichtet werden, können Übeltäter gefälschte Server anlegen und über diese Malware verbreiten!
Nach letzten Informationen der Virenanalysten von Doctor Web erstellen Cyber-Kriminelle Kopien von Webseiten im Steam-Katalog. Die geklonten Webseiten sehen genau wie authentische Webseiten aus. Nachdem der Benutzer eine solche Webseite aufgerufen hat, wurde er jedoch auf die Webseite mit Malware weitergeleitet.
Das Szenario eines Angriffes hängt von den Funktionen ab, mit denen ein Schädling ausgerüstet ist. Hinter dem Schädling kann sich auch ein Encoder verbergen.
Achtung: Verschlüsselungstrojaner!
Neben Cyber-Kriminellen wollen auch andere Vertreter der kriminellen Cyber-Welt durch Erpressung von Opfern verdienen. Das sind Encoder oder Verschlüsselungstrojaner, die Daten von Benutzern verschlüsseln und für die Entschlüsselung Lösegeld verlangen. Ein solcher Trojaner kann sich durch eine Spam-Mail oder einen Link ins System einschleusen, von der Webseite heruntergeladen oder von einem USB-Stick auf Ihren Rechner übertragen werden. Die Infizierung erfolgt im Hintergrund und lässt sich nicht entdecken, solange die Dateien auf Ihrem Rechner nicht verschlüsselt sind. Anschließend wird bei den Opfern nach Geld verlangt.
Weitere Informationen zu Verschlüsselungstrojanern finden Sie hier.
Nach Informationen der Virenanalysten von Doctor Web können Encoder Dateien für Spiele wie Call of Duty, Minecraft, StarCraft 2, Skyrim, World of Warcraft, League of Legends oder World of Tanks verschlüsseln.
Wir möchten Sie daran erinnern, dass die Entschlüsselung nur für Besitzer kostenpflichtiger Dr.Web Lizenzen kostenlos ist. Im Fall der Verschlüsselung wenden Sie sich bitte an den technischen Support von Doctor Web.
Beliebte Spiele im Dienst von Cyber-Kriminellen
Die Übeltäter nutzen Funktionen in Spielen aktiv zur Verbreitung von Malware aus.
Beim Verbindungsaufbau zum Server von Counter-Strike lädt das Client die im Spiel fehlenden Komponenten herunter.
Die im Jahre 2001 von unseren Virenanalysten durchgeführte Ermittlung zeigte, dass zunächst ein Game-Server Counter-Strike eingerichtet wurde, der dann den Trojaner Win32.HLLW.HLProxy verbreitete. Bis 2001 wurde der Trojaner unter Counter-Strike-Spielern sogar als „nützliche Applikation“ verbreitet. Deshalb haben viele Spieler diese böswillige Anwendung freiwillig auf ihren Rechnern installiert.
Die Technologie der Verbreitung des Trojaner ist ziemlich interessant. Bei jedem Verbindungsaufbau zum Game-Server wird dem Spieler ein Begrüßungsfenster MOTD angezeigt, wo auch die Werbung des Servers oder Regeln der Administratoren sein können. Der Inhalt dieses Fensters stellt einen HTML-Code dar, der ein verdecktes IFRAME-Element enthält. Dieses leitet Spieler auf den Server der Übeltäter weiter. Anschließend wird Win32.HLLW.HLProxy von diesem Server auf dem Rechner des Opfers installiert.
Der Trojaner soll auf dem Rechner des Spielers einen Proxy-Server starten, der auf einem Rechner mehrere Game-Server von Counter-Strike emulieren und entsprechende Daten auf VALVE-Server übertragen kann. Beim Zugriff auf den emulierten Game-Server, leitet das Client die Benutzer auf den Server der Übeltäter weiter, wo er Win32.HLLW.HLProxy herunterlädt.
Die Anzahl von infizierten Rechnern wächst exponentiell.
Außerdem kann der Trojaner DDoS-Angriffe auf Game-Server und VALVE-Server durchführen. Ziele, die die Übeltäter verfolgt haben, waren das Sammeln von Benutzergeldern, die Anwerbung von neuen Spielern und DDoS-Angriffe auf unabhängige Game-Server.
Verbreitung von Viren unter dem Deckmantel von Spielen für Android-Endgeräte
Cyber-Kriminelle nutzen auch aktiv das Vertrauen der Benutzer in Spiele aus. So verbreitet sich Android.Elite.1.origin unter der Maske von beliebten Apps, u.a. Spielen.
Wenn Sie Android.Elite.1.origin starten, versucht der Schädling den Zugriff auf Administratorfunktionen zu bekommen, damit die Anwendung vermeintlich korrekt installiert werden kann. Im Erfolgsfall beginnt der Trojaner die SD-Karte zu formatieren und löscht alle dort vorhandenen Daten. Danach wartet die Malware ab, bis einige populäre Messenger gestartet werden.
Android.Elite.1.origin formatiert die SD-Karte und versendet alle 5 Sekunden Kurznachrichten an alle gefundenen Kontakte. Das Konto der Opfer, die ein infiziertes mobiles Endgerät besitzen, kann somit in Minuten oder sogar in Sekunden ausgeräumt werden!
Viren als Waffe der Wettbewerber auf dem Markt für Spiele
Der Wettbewerb unter den Eigentümern der Game-Server ist hoch, besonders wenn es um Spiele innerhalb des Top-Rankings Gametracker geht. Im Februar 2012 gab es einige schädliche Anwendungen unter Goldsource (sowie Counter-Strike und Half-Life), die Game-Server stilllegen sollten. Einer davon ist Flooder.HLDS. Es ist ein böswilliges Programm, das die Verbindung zum Game-Server, der von einer großen Anzahl von Spielern verwendet wird, emuliert. Dies kann zum Absturz bzw. zu Fehlfunktionen der Server führen.
Ein weiterer Schädling, der unter dem Namen Flooder.HLDS.2 geführt wird, sendet ein Datenpaket an den Server, wodurch die Server-Software zum Absturz gebracht werden soll.
Beide böswilligen Anwendungen sind weit verbreitet auf Gamer-Foren. Die Zahl der Angriffe auf die Game-Server durch diese Programme hat sich im Laufe des Monats deutlich erhöht.
INTERESSANT! Der Einsatz solcher Schädlinge kann auch ihren Entwicklern, die Game-Server zum Absturz bringen wollen, Schaden zufügen. Dies belegen vielfältige Exemplare von Flooder.HLDS.2, der ihren Rechner beim Start mit BackDoor.DarkNess.47 und Trojan.Wmchange.14 infiziert. Der erste Schädling übernimmt die Funktion einer Backdoor sowie eines DDoS-Bots, der zweite tauscht die Kontonummer im Umgang mit WebMoney und räumt das Konto des Opfers aus. Die Cyber-Kriminellen werden so selbst zum Opfer der Infektion.
Wie können Sie sich schützen, wenn Sie ein Fan von Computerspielen sind?
Doctor Web empfiehlt:
Bevor Sie ein Benutzerkonto auf einem Server kaufen, achten Sie auf die angebotene Lizenzvereinbarung.
- Die Regeln enthalten oft Artikel, in denen die Verantwortung der Serveradministratoren ausgeschlossen wird, wenn ein Benutzerkonto gestohlen wurde. Außerdem kann der Administrator ein beliebiges Benutzerkonto sperren, ohne dabei Gründe dafür zu nennen.
- Halten Sie sich beim Kauf einer Lizenz an die Lizenzbedingungen.
Doctor Web empfiehlt:
Verlangen Sie beim Kauf eines Benutzerkontos nicht nur nach einem Passwort, sondern auch nach einer Geheimfrage, die für die Wiederherstellung des Benutzerkontos nötig ist, sowie nach dem Zugang zum Mail-Konto, an welches das vorliegende Benutzerkonto gebunden ist.
Auf den meisten Spielservern (u.a. Blizzard) ist jedes Benutzerkonto an eine E-Mail-Adresse oder Telefonnummer gebunden. Bei Diebstahl wird die Administration mit dem vermeintlichen Besitzer des Benutzerkontos kommunizieren.
Doctor Web empfiehlt:
Speichern Sie Scans Ihres Ausweises auf einem separaten Rechner, damit kein Trojaner Ihre Kopien stiehlt. Diese Empfehlung gilt nicht nur für Spieler, sondern auch für alle anderen Anwender!
Bei einem Kontodiebstahl kann die Administration des Spielservers Ihre persönlichen Daten inkl. eingescannter Ausweise oder Fotos verlangen.
Zur Verifikation eines Spielerkontos kann der technische Support nicht nur Ihre persönlichen Fotos mit einem Originalausweis, sondern auch das Fotodatum anfordern. Darüber hinaus soll manchmal eine aktuelle Zeitung oder Ähnliches auf dem Foto vorhanden sein. Und nur der Bewerber, der ein solches Foto dem technischen Support zur Verfügung stellen kann, wird das Konto schließlich bekommen.
Wenn Sie auf diese Forderungen nicht eingehen, kann Ihr Konto gesperrt werden. Die Betrüger bekommen Ihr Geld und Sie haben ein neues Problem.
Damit Sie NICHT zum Opfer eines Trojaners werden, empfiehlt Ihnen Doctor Web:
- Links zu ignorieren, wenn Sie sich nicht 100% sicher sind, dass diese Links unschädlich sind.
- Spiele nur aus verlässlichen Quellen herunterzuladen oder beim Kauf von Spielobjekten nur verlässliche Märkte zu verwenden.
- Ihre persönlichen Daten im Internet nicht zu veröffentlichen.
- Geheime Fragen, wenn sie von unbekannten Personen gestellt werden, zu ignorieren.
- Dafür zu sorgen, dass auf Ihrem Rechner alle aktuellen Updates des entsprechenden Betriebssystems und Antivirenprogramms installiert sind.
- Nur eine aktuelle Version Ihres Antivirenprogramms vor jedem Spielanfang zu benutzen!