Game-Account ist gehackt! Was dahinter tatsächlich steckt

Dem heutigen Beitrag widmen wir ein ganz spezielles Thema. Da es sich hierbei um einen von, uns speziell recherchierten Beitrag handelt, in dem ein großer Publisher involviert ist, haben wir uns entschieden keine Namen von Spielen und Webseiten zu nennen. Wir möchten euch hier eine Ursache von „gehackten Accounts“ nennen, die weitreichende Folgen hat und weit über die gesetzliche Legalität hinaus geht. Außerdem sprechen wir in diesem Beitrag von einer hypothetischen Annahme.

Mein Account wurde gehackt! Ich komme nicht rein!

In diese Situation werden nicht viele gekommen sein. Doch fast alle kennen es. Wenn im Forum des jeweiligen Spiels ein Hilferuf gestartet wird von einem hilflosen Spieler und meldet, dass sein Account gehackt wurde. Kaum einer wird sich davor nicht fürchten, wenn einem exakt das selbe Schicksal ereilt. Harterarbeitete Items, Rüstungen, mehrere Charaktere auf Maximal-Level. Somit mehrere Jahre Spielzeit weg. Ob nun in World of Warcraft, Final Fantasy 14, EvE Online oder gar der eigene Steam-Account. Es gehört für den Spieler zum schlimmsten Alptraum was passieren kann. Denn oft bleibt einem nichts anderes übrig als der Gang zum Supportsystem. Da aber die meisten Supportsysteme von großen Publishern oft nur mit Zugangsdaten erreichbar sind, muss man sich auf die nächstbeste Support-Email verlassen und hoffen, dass sehr bald eine Antwort kommt. Und die lässt sich oft sehr viel Zeit.

Man fragt sich verständlicherweise: Wieso können die nicht darauf achten dass mein Account gesichert ist? Ich habe doch nichts falsches getan! Mein Passwort ist absolut sicher! Dass dahinter allerdings eine Industrie stecken könnte, die sich darauf spezialisiert hat Accounts auf reguläre Wege von Spielern zu kapern, wissen nur die wenigsten. Dies wollen wir euch nun ausführlich erklären.

Gehackte Accounts – ist nur ein kleiner Teil

Bei meiner Mitarbeit bei einer der größten deutschen Publisher für Free2Play-Spiele, kamen wir sehr oft in Kontakt mit technischen Belangen von anderen Usern. Mal geht es darum, dass das Spiel nicht auf dessen System startet. Mal möchte jemand einen Spieler anzeigen, der Cheattools benutzt oder beleidigt. In den ganzen Anfragen, die bei uns damals reinkamen, waren ein sehr kleiner Teil davon Spezialfälle. Es handelte sich um Fälle, bei denen der User meldet, dass sein Account gehackt wurde. Nicht umsonst erhielt die dafür eingerichtete Email-Adresse den Namen „hacking“.

Jedenfalls war der Ablauf ganz klar geregelt: User meldet sich – verifiziert sich (an dieser Stelle kann ich persönlich hier nicht näher eingehen) – und hat seinen Account wieder. Wenn die Interne Systeme das zulassen, wurden Items ersetzt (als F2P-Publisher gab es leider nur eingeschränkte Möglichkeiten, auf Spielinterne Systeme zuzugreifen. Als F2P-Publisher ist man zwingend auf das Einspielen von Skripten und Fixes des Entwicklers angewiesen, die ihren Sitz häufig in Korea oder China haben – Kommunikation und Wartezeit entsprechend natürlich).

Über diesen Zeitraum wurden diese sogenannten „gehackten Accounts“ genauer analysiert. Wie konnte es geschehen, dass diese Accounts überhaupt gehackt worden sind? Sind unsere Systeme nicht sicher? Nun, die meisten werden sich eine Stahltür vorstellen, in der die bösen Gauner mit Brecheisen die Tür aufbrechen und in den Account gelangen. Dass das ganze nicht so einfach funktioniert und Sicherheitsmechanismen existieren, ist selbsterklärend. Bei unseren Analysen ist uns ebenfalls aufgefallen, dass es bei keinem der gemeldeten Accounts solche „Verhaltensauffälligkeiten“ gibt, die typisch wären (Stichwort: Brute-Force, das schnelle durchprobieren von mehreren Zeichenfolgen im Passwort mithilfe eines Programmes). Tatsächlich konnte bei keinem Account festgestellt werden, dass sie auf diese Art und Weise gekapert wurden.

Da das Spiel, wofür wir zuständig waren generell eine junge Zielgruppe angesprochen hat, sollte schnell klar sein dass der eine oder andere dabei denkt, man könne seine Account-Daten in xbeliebigen Webseiten eingeben und man erhält Ingame-Geld. Es wäre also doch super, wenn man eine Webseite findet, in der versprochen wird, dass sofort 200 Euro Guthaben auf Steam gutgeschrieben werden mit der Bedingung, seine Accountdaten einzugeben. Auf sowas fallen natürlich genug Leute rein und heutzutage sollten die meisten aufgeklärt genug sein, solche Webseiten nicht zu besuchen bzw. gar nicht erst zu öffnen. Da allerdings Fortnite sehr viele junge Spieler anlockt, dürfte es auch hier eine geringe Quote geben, die auf sowas herein fällt.

Doch was hat das nun mit dem verloren-gegangenen WoW- oder FF14-Accounts zu tun? Für einen aufgeklärten Menschen zeugt es von gesundem Menschenverstand, nicht auf sowas hereinzufallen. Oder etwa doch? Das Geheimnis liegt nicht in dieser ziemlich offensichtlichen Masche – sondern in Dienstleistungen für euren Account, die von seriösen Händlern angeboten werden. Dass jedoch hinter dieser Dienstleistungen weitaus mehr steckt, erfährt ihr wenn ihr weiterliest.

1000 Gold für 20 Euro! Goldkauf zum Reichtum

Wer kennt sie nun also nicht? Man möchte seinen Charakter leveln oder sich auf einen Raid vorbereiten, dann wird man angflüstert:

1000 G0ld / 20 D0$$ar by *****.com | Today Discount!! Cheap Money!

Solche Aufrufe kennt jeder Spieler, der schon einmal in einem MMORPG unterwegs war. Es gibt dabei verschiedene Möglichkeiten. Man ignoriert diese. Setzt sie auf die Blockliste (wobei diese wenig bringt da diese nur einmal schreiben und nicht mehr wieder). Oder meldet sie direkt und sie werden dafür gesperrt. Bei manchen Spielen klappt es besser als bei anderen. Aber es funktioniert. Allerdings wären solche Aufrufe nicht da, wenn es nicht Personen gibt, die diese Angebote tatsächlich auch wahrnehmen.

Gold kaufen online spiele account gehackt

Es reicht eine kurze Google-Suche und es tauchen eine Vielzahl von Webseiten auf die günstiges Gold, ISK oder Gil zu Spottpreisen anbieten. Viele dieser Anbieter haben jedoch eines gemeinsam: Der Sitz ist in China. Nicht selten allerdings werben Anbieter jedoch auch, über eine deutsche IP-Adresse zu operieren und so mehr Sicherheit anzubieten. Ob das tatsächlich klappt, können wir an dieser Stelle nicht mit hundertprozentiger Sicherheit sagen. Erfahrungsgemäß landen solche Accounts tatsächlich weniger im Radar – hängt aber jedoch letztlich vom Spiel und Publisher ab.

Der Kauf klingt verlockend: Für wenig Geld sich das Gefarme in Spielen zu ersparen und direkt ein Stück reicher werden. Die Angebote überschlagen sich und jede Webseite garantiert Zuverlässigkeit, Schnelligkeit und Sicherheit. Selbst ein Portal, in dem sich Spieler selbstständig Geld oder Items anbieten können und das Portal lediglich als „Middle-Man“ aus Sicherheitsgründen fungiert existiert. Das alles scheint also doch gar nicht so unsicher zu sein. Die tausenden von guten Bewertungen bestätigen den Ersteindruck.

Doch viele dieser nicht-genannten Webseiten haben eine Kleinigkeit gemeinsam. Um eine Transaktion abzuschließen (das Geld ist an dieser Stelle bereits überwiesen) und das Geld endlich Richtung Käufer nun rollen kann, muss dieser seine Identität bestätigen. Es kann ja sein, dass der Paypal-Account – oder mit welcher Zahlungsmethode genau bezahlt wurde – gar nicht wirklich der Person ist, die sich auszugeben scheint. Deshalb verlangen fast alle Webseiten, dass der Käufer sich verifizieren soll. Um das zu bewerkstelligen, ist es nötig eine Kopie des Ausweises an den Händler zu senden. Eine ungewöhnliche Methode, die als Sicherheitsmaßnahme dient.

Wir gehen nun davon aus, dass der Käufer dieser Maßnahme zustimmt und eine Kopie seines Ausweises an dem Händler zusendet. An dieser Stelle werden wir keine Rechtsberatung durchführen, ob dies überhaupt nach deutschen Gesetzen zulässig ist. An dieser Stelle verweisen wir auf Webseite datenschutzbeauftrager-info.de

Wurde die Ausweiskopie übermittelt, kann die Transaktion nun stattfinden. Der Spieler bzw. Käufer vereinbart mit dem Händler Ort und Zeit, um das Geld im Spiel zu überweisen bzw. zu transferieren. Gesagt, getan. Pünktlich und der Käufer ist zufrieden. Was er an dieser Stelle jedoch nicht bedacht hat: Er ist an einen Händler geraten, der es nicht nur auf das Geld abgesehen hat. Und er hat bereits alle wichtige Informationen, die er benötigt.

Urkundenfälschung und verlorener Account

Hilfe! Mein Account wurde gehackt! So in etwa heißt es, wenn kein Zugang weder über einen Launcher, noch über die Webseite möglich ist. Panisch versucht man, wenigstens irgendeine Support-Email über die Google-Suche rauszufischen. Nach langem hin und her und relativ langer Wartezeit erfährt der Accountbesitzer, dass *er* selbst bereits vor einiger Zeit sich über den Support gemeldet hat und schrieb, dass er seinen Account verloren hat. Wie kann das sein? Er hat doch jetzt keinen Zugang mehr zum Account. Und davor hat er eine Einwöchige Pause im Spiel eingelegt. Und auch sonst niemand kannte seine Daten. Wie kann es sein, dass der Publisher ihm böswillig seinen Account weg genommen hat?

Es handelt sich hierbei um einen perfiden Trick. Völlig irrelevant, wie sicher das eigene Passwort ist – der Account ist so oder so verloren gewesen. Denn was der Käufer aus unserem Beispiel nicht ahnte: Mit der Kopie seines Ausweises an den Händler, der natürlich versicherte dass er die Kopie direkt wieder löscht/zerstört, hat er ihm freiwillig eine Freikarte gegeben, den Account zu kapern.

Mit der einwöchigen Pause hatte der „Täter“ genügend Zeit, über eine vorgesehene Emailadresse an den jeweiligen Publisher zu schreiben. Nach unserer Erkenntnis hat es bereits gereicht, die Kopie seines Ausweises zur Verifikation des Accountsbesitzers an den Publisher zu übermitteln. Da bei MMORPGs in denen viel Geld und Zeit steckt, meistens auch reale Daten angegeben sind, ist der Abgleich oft erfolgreich und das Kapern des Accounts anschließend ebenso. Der Täter hat nun Zugriff auf den Account inkl. neuer Emailadresse und Passwort. Nun reicht ein Sachkundiger User aus, um sich einzuloggen und Wertgegenstände gewinnbringend zu verkaufen, das gewonnene Geld an anderen Charaktere zu senden, die für das horten von Ingame-Geld zuständig sind. Meist wird auch der gesamte Account blitzartig weiter verkauft. Nicht unüblich: Nebenbei wird mit dem Account noch Werbung gegen Dienstleistungen im Chat „geshoutet“, um an neuen Kunden zu kommen. Zeit? Genug vorhanden. Die zwei größten MMORPG-Spiele (World of Warcraft, Final Fantasy 14) bannen Accounts, die gegen die RMT-Nutzungsbedingungen verstoßen, lediglich in Wellen. Im Prinzip ist nun alles möglich, was möglich ist. Der Schaden ist entstanden – und jegliche Sicherheitsmechanismen seitens Publisher/Entwicklers schlug aufgrund einer einzigen Sicherheitslücke fehl.

Zwar gleichen große Publisher natürlich auch mithilfe IP-Adresse oder Anbieter, aber eine absolute Sicherheit ist dies keine. Besonders, wenn die Kommunikation per Email stattfand. Oft ist auch Social Hacking notwendig, um doch noch an das gewünschte Ziel zu gelangen. Ein Horrorszenario, das nur im Hintergrund stattfindet und wenige User bereits darauf reingefallen sind. Die Beantwortung einer sogenannten „Sicherheitsfrage“ wird durch die Verifizierung des Personalausweises per Email/Telefon beispielsweise ebenfalls problemlos ausgehebelt.

Hierbei ist es schon praktisch egal, auf welche Weise sich der User anlocken lies: Ob Goldkauf, Itemkauf, Dienstleistungen wie „Level-Boost“, „Ranking-Boost“ – vollkommen egal – die Art und Weise bleibt gleich.

Achtung: Nur eine von vielen Möglichkeiten

Natürlich handelt es sich hierbei nur um eine Möglichkeit, einen Account zu kapern. Doch handelt es sich hierbei um eine Methode, die schwärzer nicht sein kann. Weitere Methoden wären in etwa, wenn man selbst von einem Keylogger infiziert ist – oder auf eine Webseite reinfällt, die exakt wie die Originalwebseite aussieht. Emails, die per Zufall oder gezielt an bestimmte Useraccounts versendet werden und sich als den jeweiligen Publisher ausgeben. Oder über Skype am PC oder Whatsapp über Smartphone mal eben die Logindaten übermitteln, weil man gerade für ein paar Tage unterwegs ist. Zu faul, sich die Logindaten zu merken und deshalb in eine Textdatei abgespeichert? Wer sagt, dass durch ein Zufall (oder gezielt) auch hier kein Zugriff existieren kann?

Wie geht man nun auf Nummer sicher?

Es existiert für die oben genannte Methode keine Möglichkeit, sich abzusichern – außer dass man gar nicht erst auf solche Käufe eingeht. Es betrifft nämlich nicht nur auf Gold- oder Itemkäufe in Spielen. Wenn auch nur Ansatzweise eine Verbindung geschaffen werden kann zwischen Händlerportal und Account, ist die Wahrscheinlichkeit bereits gegeben. Ob Spieleaccount, Steamaccount oder von anderen Webseiten. Aber wie kommt es, dass ich davon betroffen werde und die 10.000 User mit positiven Bewertungen nicht? Nun, diese Frage ist eigentlich nicht schwierig zu beantworten. Zum einen können Bewertungen durchaus manipuliert sein. Hierzu gibt es dutzende Reportagen über Öffentlich-Rechtliche auf Youtube – zum anderen würde es niemandem auffallen, wenn zwischen 30, 40 und 50 positive Bewertungen nur eine einzige Bewertung vorhanden ist, die vermeldet dass der eigene Account gehackt wurde oder generell nicht zufrieden war.

Generell gilt: Sicheres Passwort wählen aus Buchstaben, Zahlen und Sonderzeichen. Dass man das Passwort im bestenfalle alle 3 oder 6 Monate ändern sollte, wird zwar gerne empfohlen aber ist in unseren Augen ziemlich überflüssig. Einmal im Jahr reicht. Gebt nirgendwo eure Daten ein – nur auf der Webseite und versichert euch, dass es sich um die Originalwebseite handelt. Gibt niemandem eure Daten weiter – auch nicht an eure Freunde oder Familienmitglied. Die Gefahr liegt nicht an der Person der ihr eure Daten an sich anvertraut, sondern das „was dazwischen ist“. Zu faul, euer Logindaten zu merken? Kein Problem: Bei jedem 1-Euro Shop gibt es kleine Notizbücher. So habe ich persönlich das ebenso gemacht.

Manche Spiele bieten eine sogenannten Zwei-Faktor-Authentifizierung an. Nutzt diese, wenn ihr wirklich sicher gehen wollt. Euer Account ist zumindest bombenfest gesichert, zumindest wenn es darum geht wenn ein Bösling eure Daten tatsächlich mal kennt. Das einzige, was bei einem Account passieren kann der zu oft das falsche Passwort eingegeben wurde, jedoch mit dem 2F-Authentifizierung gesichert wurde, ist dass es aus Sicherheitsgründen automatisiert gesperrt wird. Einige Publisher bieten ein paar kleine Bonusgegenstände wie jüngst Fortnite mit exklusiven Emotes an, wenn ihr euch auf die Zwei-Faktor-Authentifizierung einlasst. Es handelt sich hierbei um nichts anderes als um ein zweites Passwort. Dieses zweite Passwort wird zufällig generiert und zusätzlich abgefragt, wenn ihr euch einloggen wollt.

Gefällt euch der Beitrag? Teilt diesen Beitrag oder erzählt uns weiter!