Betrug mit Online-Spielen: Die Untergrund-Ökonomie im Wandel

Es spielt keine Rolle, welche Art von Spiel man als Beispiel nimmt, ob Kartenspiel, Brettspiel oder Räuber und Gendarm, versuchtes Schummeln ist so alt wie das Spiel selbst. Der Wettbewerbsgeist der Menschen bringt viele dazu, die Regeln des Spiels zu brechen und sich über unlautere Mittel gewisse Vorteile zu verschaffen, um am Ende als Sieger dazustehen. Warum sollten Computerspiele hier eine Ausnahme bilden? Sogenannte Cheats (vom engl. ‚to cheat‘, ‚betrügen‘) haben in allen Spiele-Genres weniger talentierten oder ungeduldigen Zockern geholfen, das Spiel schneller oder mit größerem Erfolg zu bewältigen. Legendär sind hier in erster Linie der ‚Godmode‘ zur Unsterblichkeit des Alter Egos oder der Cheat für alle Waffen samt unendlicher Munition bei First-Person-Shootern. Seit jedoch das Internet flächendeckend zu günstigen Preisen verfügbar ist, haben sich Online-Rollenspiele, MMORPGs (Massive Multiplayer Online Role-Playing Games) genannt, in Sachen Langzeit-Spaß und Spieltiefe als Nummer Eins ins Rampenlicht gestellt. Hierbei schafft sich der Spieler seinen eigenen Helden in einer virtuellen Fantasy-Welt, wo er zusammen mit Gleichgesinnten aus aller Welt gegen allerlei Monster antritt. Die Helden wachsen dabei über die Spielzeit hinweg durch Erreichen von Spielzielen und Monstertötungen Level per Level heran. Doch nicht nur das Helden-Level und neue Fähigkeiten bestimmen die Mächtigkeit, die Ausstattung spielt eine sehr wichtige Rolle. Waffen in Form von Schwertern, Äxten oder Bögen sowie Rüstungen bestimmen über den Erfolg auf dem Schlachtfeld. Die mächtigsten Ausrüstungsgegenstände sind dabei bei den Spielern gleichermaßen begehrenswert wie schwer zu finden. Es benötigt eine gehörige Portion Glück, dass solch ein wertvoller Gegenstand nach der Beseitigung eines Widersachers zu Boden fällt.

Der Begriff „Alter Ego“ als Synonym für den spielbaren virtuellen Helden ist dabei bereits ein geflügeltes Wort. Vielfältige Optionen zur Charakter-Erschaffung bieten einen großartigen Spielplatz für kreative Spieler. Die Gestaltung des Aussehens sowie die Vergabe persönlicher Fähigkeiten unterstützen den Prozess zu einer regelrechten Personalisierung des neuen Helden. So wie viele reale Personen ein Faible für teure Uhren, Brillen, Kleidung sowie andere Luxusgüter haben, werden auch die virtuellen Helden mit der gleichen Sorgfalt ausgestattet. Da die von den Helden getragenen wertvollen Spielgegenstände oftmals für andere Mitspieler identifizierbar sind, können diese nicht nur als nützliche Kampfattribute, sondern auch als Statussymbole herhalten. In dieser Hinsicht unterscheidet sich die virtuelle Welt nur wenig von der realen. Der Begriff „Alter Ego“ kommt nicht von ungefähr.

Dass sich daraus ein eigenes marktwirtschaftliches System entwickelt hat, ist hinsichtlich der vorangegangenen Aspekte nicht weiter verwunderlich. Der Tauschhandel ist ein wichtiges Instrument, um bestimmte Gegenstände zu erhalten. Sowohl spielinterne Währungseinheiten (für gewöhnlich virtuelle Goldmünzen) als auch Gegenstände werden dazu benutzt. Dabei etablieren sich innerhalb kürzester Zeit feste Wertigkeiten und Kurse für die jeweiligen Schätze, wobei Spiele-Updates und Add-Ons regelmäßig für frischen Wind in der virtuellen Welt sorgen. Neue Gegenstände und geänderte Fundwahrscheinlichkeiten ließen die Marktplätze nie stillstehen, wobei die Märkte auch von den Spiele-Herstellern genau verfolgt wurden und dementsprechend die Spielbalance angepasst wurde.


Beispielbild eines Handels aus dem Spiel Diablo II

Bei dem bisher erfolgreichsten MMORPG World of Warcraft (WoW) kamen bereits in der Anfangszeit findige Spieler auf die Idee, ihr reales Einkommen durch das Sammeln von Spielgold aufzubessern. Unter Zuhilfenahme von bestimmten Techniken kann in relativ kurzer Zeit viel Gold „gefarmt“ werden, welches dann über Online-Auktionshäuser und andere Webseiten für echtes Geld verkauft werden kann. Gleiches gilt für seltene Rüstungen oder Waffen. Der Handel von virtuellem Gut gegen bare Münze war schon zuvor anzutreffen, jedoch wurde mit World of Warcraft die Messlatte auf ein neues Niveau gehievt. Das Geschäft florierte förmlich, und manch einer konnte sich eine goldene Nase daran verdienen. Die meisten Spielehersteller achten darauf, dass sich der Handel auf die virtuelle Welt beschränkt – so auch Blizzard, der Hersteller von World of Warcraft. Daher wurde der Handel außerhalb des Spiels durch AGBs untersagt, die Strafe erfolgte meist durch Sperrung des Spielekontos oder sogar des CD-Keys, welcher für den Online-Spaß benötigt wird. Jedoch konnte das Geschäft nie ganz aufgehalten werden.

Aufgrund des schnell expandierenden Marktes und dessen finanziellen Potentials war es nur eine Frage der Zeit, bis sich auch Virenschreiber dafür interessierten. Während viele der angebotenen Spiel-Gegenstände, Spiele-Konten und Währungen von den Besitzern selbst zum Verkauf angeboten werden, stammen auch große Teile aus Phishing-Attacken von Cyberkriminellen. Sergey Golovanov von Kaspersky Lab hat bereits im Jahr 2007 einen umfassenden Artikel über die Methoden der Betrüger geschrieben und dabei ausführlich erörtert, wie sie beim Diebstahl von Zugangsdaten von Spielekonten und virtuellem Eigentum vorgehen. Nun ist es an der Zeit, die Entwicklung rund um den Betrug mit Online-Spielen zu betrachten und insbesondere ein wenig Licht in die ökonomischen Zusammenhänge zu bringen. Dabei steht insbesondere World of Warcraft im Fokus dieses Artikels. Zum Einen ist es nach wie vor das erfolgreichste MMORPG, zum Anderen kann es neben seiner Popularität auf eine – für Computer-Spiele – lange Geschichte zurückblicken, was vor allem für eine marktwirtschaftliche Betrachtung von Vorteil ist.

Phishing

Das Versenden von Phishing-Mails ist ein altbewährtes Mittel der Cyberkriminellen, um an Zugangsdaten eines Kontos zu gelangen. An der Methodik selbst hat sich in all den Jahren nicht allzu viel geändert. Dennoch war es meist ein leichtes, Phishing-Mails als solche zu entlarven. Texte waren geradezu übersät mit Rechtschreib- und Grammatik-Fehlern. Die Achillesferse wurde jedoch beseitigt. Heutige Phishing-Mails wirken selbst für erfahrene Anwender sehr authentisch! Dabei stehen derzeit besonders zwei Online-Rollenspiele im Fadenkreuz der Kriminellen: World of Warcraft und Aion. Da für WoW bereits ein heiß erwartetes Add-On ins Haus steht, wird die Vorfreude der Zocker als Aufhänger für Phishing-Versuche verwendet. Eine vermeintlich von Blizzard versendete Mail verkündet den baldigen Start eines offenen Beta-Tests der WoW-Fortsetzung. Interessierte Zocker könnten sich dabei vorab anmelden und auf einen der begehrten Plätze hoffen.


Ein Blick auf den Mail-Header verrät allerdings die echte Herkunft der E-Mail. Auf den ersten Blick scheint das Konto des Absenders „noreply@blizzard.com“ zu sein. Jedoch wurde es von einem privaten Konto versendet.


Die Mail fordert dabei dazu auf, dem beigefügten Link zu folgen und sich dort mithilfe der Battle.Net-Zugangsdaten einzuloggen. Dieser Link gibt vor, auf die legitime Webseite des Battle.Net –- also der Online-Plattform des Herstellers Blizzard – zu führen. Jedoch wurde die Mail im HTML-Format versandt, hinter dem sichtbaren Text wird ein anderes Ziel referenziert.

In diesem Beispiel wurde simpler HTML-Code zur Täuschung verwendet, jedoch findet man auch sehr häufig Javascript zur Umleitung auf Phishing-Webseiten. Hier empfiehlt es sich einmal mehr, E-Mails im einfachen Textmodus aufzurufen, auf diese Weise würde man entweder gleich die verräterische Zieladresse sehen, oder aber die Umleitung würde nicht greifen.


Man landet auf einer gefälschten Login-Seite, welche dem echten Internetauftritt Blizzards täuschend ähnlich sieht. Eingegebene Login-Daten werden im Hintergrund gespeichert, wo sie dann von den Cyberkriminellen eingesammelt werden. Bis auf ein kurzzeitig eingeblendetes „Processing…“ geschieht nach dem Klick auf „Log In“ nichts, so dass man als Anwender einen Fehler auf der Seite vermuten würde.

Alle weiteren Links zeigen allerdings auf das reale Pendant der echten Battle.Net-Seite.


Dies ist nur eines von vielen möglichen Beispielen alltäglicher Phishing-Mails. Die am häufigsten auftretende Masche warnt vor möglichen Sicherheitsrisiken des eigenen Spielekontos und fordert zur Absicherung zum Login auf einer – ebenfalls gefälschten – Webseite auf. Diese Methode ist bei fast allen Online-Spielen anzutreffen.

Die Betrüger verwendeten ihre Kraft in den letzten Jahren stark auf die Qualitätsverbesserung ihrer Phishing-Attacken, anstatt nur eine rein zahlenmäßige Steigerung der versendeten Phishing-Mails zu erreichen.

Sowohl die optische Aufmachung als auch textuelle Inhalte wurden stark verbessert.


Jedoch ist der Anteil der Gaming-Phishing-Mails – verglichen mit dem gesamten Phishing-Volumen – sehr gering, wie man in der Grafik erkennen kann. Als Zielplattform ist nur World of Warcraft mit 1,83% (Juli 2010) zahlenmäßig erwähnenswert. Andere MMORPGs haben im Vergleich keinen nennenswerten Anteil.

Malware

Seit 2002, als der erste auf das Stehlen von Zugangsdaten spezialisierte Trojaner namens Trojan-PSW.Win32.Lmir erschien, ist viel Zeit vergangen. Dennoch hat sich an der Grundkomponente selbst nicht viel verändert. Sobald sich der Spieler an der Online-Spiele-Plattform anmelden möchte, wacht der Trojaner auf und zeichnet die eingegebenen Daten auf. Im Anschluss werden üblicherweise die aufgezeichneten Daten lokal auf dem Rechner gespeichert und an den Malware-Autoren via E-Mail oder FTP gesendet. Dennoch entwickelte sich die Schadsoftware auf anderen Feldern weiter.

Um die Erfolgschance zu erhöhen, besitzen viele Gaming-Trojaner die Fähigkeit, Login-Daten von mehreren Spielen mitzuschneiden. Da ohnehin nur auf einem kleinen Teil aller Rechner weltweit ein Online-Spiel installiert ist, steigt die Chance beim Attackieren vieler Spiele um ein Vielfaches. Diese Art Gaming-Trojaner wird als Trojan-GameThief.Win32.OnLineGames klassifiziert und umfasst derzeit 1,2 Millionen Einträge (Stand: 10. August 2010). Dennoch gibt es noch immer Schädlinge, welche nur eine Spiele-Plattform attackieren. Als Beispiele seien Trojan-GameThief.Win32.WOW, der auf die Spieler von World of Warcraft abzielt, Trojan-GameThief.Win32.Perforld mit Perfect World als Ziel oder Trojan-GameThief.Win32.Nilage, welcher LineAge im Visier hat, genannt.

Folgende Grafik illustriert die Entwicklung der Anzahl neuer Malware in Halbjahres-Sprüngen:


Das erste Halbjahr 2008 stellt den bisherigen Rekord an neuer Gaming Malware dar. Mehr als 608.000 neue Schadprogramme wurden registriert. Der Grund dafür liegt höchstwahrscheinlich in der Veröffentlichung dreier Rollenspiele:

  • WoW Add-On „Burning Crusade“ (2007 veröffentlicht, möglicherweise Spätfolge)
  • Aion
  • Perfect World (Veröffentlichung 2008 in Europa und Nordamerika)

Daraufhin sank im zweiten Halbjahr die Anzahl auf etwa 370.000, bevor das erste Halbjahr 2009 wiederum für eine zweite Spitze sorgt. Hier könnte wieder World of Warcraft verantwortlich sein, da im November 2008 das zweite Add-On „Wrath of the Lich King“ erschien.

Seitdem befindet sich der Graph auf einem stetigen Sinkflug. Das erste Halbjahr 2009 sorgte für gut 138.000 neue Schadprogramme, welche es auf die Zocker abgesehen haben. Die Gesamtzahl aller Schädlinge beläuft sich mittlerweile auf beachtliche 1.878.750 Einträge in der Datenbank von Kaspersky Lab (Stand 6. August 2010).

Ein Blick auf die geographische Verteilung der Angriffsversuche verrät, dass Gaming Malware besonders im asiatischen Raum weit verbreitet ist. Diese Zahlen wurden mit Hilfe des In-The-Cloud Dienstes Kaspersky Security Network (KSN) erstellt. Die Zahlen geben allerdings nur die sichtbaren Angriffsversuche wieder und erheben keinen Anspruch auf Vollständigkeit. Die Dunkelziffer dürfte also noch wesentlich höher liegen.

Land Anzahl
Angriffsversuche
pro Tag
China 872.676
Indien 214.848
Russische Föderation 174.155
Türkei 163.584
Vietnam 156.262
Mexiko 125.476
Polen 103.031
Thailand 99.205
Malaysia 95.227
Spanien 93.281

Insgesamt registrieren wir weltweit durchschnittlich über 3,44 Millionen Angriffsversuche täglich allein durch Gaming-Schädlinge. Der langjährige Spitzenreiter World of Warcraft als Angriffsziel Nummer Eins wurde mittlerweile durch das asiatische MMORPG Maple Story abgelöst. Im Folgenden findet sich die Top 20 der am häufigsten attackierten Spiele, gemessen im Zeitraum von Januar 2009 bis März 2010:

  1. Maple Story
  2. World of Warcraft
  3. Perfect World
  4. Lineage
  5. Woool
  6. Cabal Online
  7. PlayOnline Viewer (Online Gaming Plattform mit mehreren Spielen)
  8. Mojie online
  9. Dekaron
  10. Gamania
  11. Huaxia II online
  12. Tales Weaver
  13. SilkRoad Online
  14. Tenio
  15. Ragnarok Online
  16. Dungeon & Fighter
  17. LaTale
  18. Seal Online
  19. Reign of Revolution
  20. Lying West Online II

Diese Liste bestätigt das Muster aus der geographischen Verteilung der Angriffsversuche. Viele der hier genannten Spiele stammen aus dem asiatischen Raum, ein großer Teil davon ist im Rest der Welt völlig unbekannt.

Wirtschaftliche Analyse der vergangenen Jahre

In den vergangenen drei bis vier Jahren haben Cyberkriminelle großen Profit mit dem Verkauf von gestohlenen Spielekonten und Gegenständen gemacht. Was in den Anfangszeiten eine unterschätzte Nische innerhalb der Internet-Kriminalität war, wurde schnell als ernstzunehmende Geldquelle erkannt.

Für die Cyberkriminellen ist natürlich die Auswahl des zu attackierenden Spiels essentiell. Dabei spielt die Größe der aktiven Community die größte Rolle. Sowohl beim Versand von Phishing-Mails als auch bei der Verbreitung von Malware muss die Zielgruppe so groß sein, dass sich der Aufwand lohnt. Die Angriffe werden schließlich nicht zielgerichtet, sondern per Rundumschlag durchgeführt. Die Chance, dass unter den Empfängern ein bestimmter Prozentsatz am ausgewählten Spiel teilnimmt, muss also gegeben sein.

Bei der Spieleauswahl spielen auch regionale Unterschiede eine Rolle. Manche Spiele – wie etwa Maple Story – sind nur in manchen Ländern bzw. Kontinenten verfügbar. Dennoch kann die Zahl der teilnehmenden Spieler hoch genug liegen, dass diese als Ziel rentabel sind. Bei Phishing-Mails sind zusätzlich sprachliche sowie kulturelle Eigenheiten für den späteren Erfolg relevant. Genau in diesem Punkt wurden große qualitative Fortschritte gemacht.

Der dritte entscheidende Aspekt ist die Bereitschaft der spielenden Community, echtes Geld für virtuelle Waren zu zahlen. Anderenfalls könnte die Beute nur zum eigenen Nutzen benutzt werden. Bei dem Paradebeispiel World of Warcraft konnte man sich diesbezüglich sehr sicher sein, da bereits für die Nutzung der Plattform monatliche Gebühren erhoben werden, was nach anfänglichem Groll dennoch akzeptiert wurde.

Genau wie in der Realität unterliegt der Handel mit virtuellen Waren wirtschaftlichen Gesetzen. Nachdem World of Warcraft 2004 erschienen war, herrschte Mangel an hochkarätigen Spielgegenständen sowie Gold. Neu gefundene Schätze konnten demnach wegen ihrer Seltenheit für hohe Geldbeträge über die üblichen Verkaufswege wie Online-Auktionen oder Online-Shops verkauft werden. In den darauffolgenden Jahren wurden derartige Funde häufiger, so dass der Bestand stetig stieg – gleichzeitig wuchs auch die Spielcommunity. Als Resultat stagnierten die Preise für hochwertige Gegenstände nur leicht, während der potentielle Verkaufsmarkt weiterhin zunahm. An diesem Punkt – etwa um 2007 – stiegen sehr viele Cyberkriminelle auf den fahrenden Zug auf. Als Folge wurde der Markt geradezu überschwemmt, und aus dem ehemaligen Verkäufermarkt entstand ein Käufermarkt. Die Verkäufer gestohlener Güter lieferten sich einen Preiskampf, um die Beute los zu werden. Das wachsende Überangebot ließ die Preise nachhaltig in den Keller fallen.

Der finanzielle Profit pro Kopf – und damit die Motivation der Cyberkriminellen – sank damit zusehends, da sich eine größer werdende Anzahl von Betrügern einen kleiner werdenden Umsatz teilen musste. Als Konsequenz fiel im Vergleich zu den Vorjahren auch die Zahl neuer Malware. Vermutlich wandten sich viele von dem Geschäft ab und stiegen auf lukrativere Sparten der Cyberkriminalität ab. Dennoch ist die Zahl der täglichen Angriffe durch Gaming-Malware weltweit mit über 3,4 Millionen noch immer sehr hoch und damit die Gefahr für die Gamer weiterhin präsent.

Derzeitige Marktsituation

Um sich einen Marktüberblick zu verschaffen sowie das Ausmaß des Handels mit Gaming-Accounts abschätzen zu können, wurden Verkäufe auf der die Auktionsplattform Ebay beobachtet. Ebay bietet als zentralisierte Verkaufsinstitution gewisse Vorteile gegenüber der Untersuchung von dezentralisierten Online-Shops, da eine hohe Anzahl von Angeboten weltweit in Betracht gezogen werden kann. Zusätzlich ist Ebay auch der wichtigste Verkaufskanal für derartige Angebote.

Für den Versuch wurde weltweit nach “World of Warcraft account” gesucht, wobei nur beendete Angebote angezeigt wurden. Da legitime Angebote nur schwerlich von gestohlener Ware unterschieden werden kann, wurden alle Angebote in Betracht gezogen. Dies ergibt einen Einblick in die derzeitige Marktgesamtgröße im betrachteten Bereich.

Im Zeitraum vom 27. Juli bis 11. August 2010 wanderten exakt 900 Angebote über den virtuellen Ladentisch. Der durchschnittliche Verkaufspreis aller Angebote lag bei 126,80 Euro, wobei die niedrigste Verkaufssumme bei 1 Euro, die höchste Summe bei 999 Euro lag.

Der Gesamtumsatz lag in den betrachteten 15 Tagen bei beachtlichen 114.118 Euro, was hochgerechnet einem monatlichen Umsatz von etwa 228.000 Euro entspräche. Bei Annahme eines konstanten Angebots und gleichbleibenden Preisen läge der Jahresumsatz bei 2,74 Millionen Euro. Eine große Menge Geld, wenn man bedenkt, dass man dafür lediglich für die Benutzung von virtuellen Gegenständen und Helden bezahlt.

Am bisherigen Höhepunkt des Handels mit Gaming-Equipment um 2008 dürfte der Gesamtumsatz ungleich höher gelegen haben. Insbesondere, wenn man alle Verkaufskanäle mit einrechnen würde.

Ausblick

Bei einem Blick in die Zukunft stellt sich die Frage, wie sich der Markt – und damit verbunden die Verbreitung von neuer Schadsoftware und Phishing-Mails – entwickeln wird. Aus den bisherigen Erfahrungen hängt die Situation von folgenden Aspekten ab:

  • Spieleangebot
  • Größe der jeweiligen Spielergemeinschaft
  • Bereitschaft der Gemeinschaft, für virtuelle Waren zu bezahlen

Wir befinden uns derzeit auf einer Art Talfahrt hinsichtlich Gaming-bezogener Bedrohungen. Jedoch wird in nächster Zukunft die Untergrundwirtschaft durch zwei Ereignisse reanimiert werden:

  1. Blizzard hat ein Add-On namens „Cataclysm“ für den MMORPG-König World of Warcraft angekündigt, ein Releasedatum steht bisher noch nicht fest. Zwar hat der Titel– wie beschrieben – den Zenit bereits überschritten, aber eine Erweiterung mit den damit verbundenen Regeländerungen, neuen Gegenständen und Charakteren dürfte nochmal einen Aufwind schaffen.
  2. Der nächste große Anstieg von cyberkriminellen Aktivitäten wird mit Diablo 3 erwartet. Der Vorgänger wurde bereits im Jahr 2000 veröffentlicht und erfreut sich noch immer großer Beliebtheit. Im Übrigen war der zweite Teil der Diablo-Reihe eines der ersten Online-Rollenspiele, für welches Gegenstände online für echtes Geld verkauft wurden. Der Weg für den dritten Teil scheint also bereits vorgezeichnet. Fans aus aller Welt fiebern bereits diesem Spiel entgegen.

Wie kann man sich also vor dem Diebstahl seines mit viel Zeit und Nerven erspielten Online-Kontos schützen? Eine effektive und aktuelle Antiviren-Lösung schützt zuverlässig vor Malware-Infektionen, welche Zugangsdaten des Spielkontos mitschneiden und nach außen versenden. Leider verzichten viele Zocker auf eine Sicherheitslösung, da sie oftmals mit dem Vorurteil behaftet ist, dass sie die dringend benötigte Rechenleistung und – besonders im Online-Bereich wichtig – die Bandbreite der Internetleitung beeinträchtige. Kaspersky Anti-Virus und Kaspersky Internet Security in den Versionen 2010 und 2011 bieten dafür einen speziellen Gaming-Modus, in dem Updates sowie geplante On-Demand-Scans ausgesetzt werden. Der On-Access-Schutz bleibt jedoch weiterhin aktiv. Somit wird die Spiele-Erfahrung nicht beeinträchtigt, und der Rechner verfügt dennoch über einen Schutz vor Malware.

Kaspersky Internet Security bietet neben einer Antiviren-Lösung auch einen Spam-Filter, welcher Phishing-Mails als solche klassifiziert und kennzeichnet. Auch Phishing-Seiten werden so als betrügerisch entlarvt und im Browser geblockt.

Dennoch bietet der gesunde Menschenverstand nach wie vor den besten Schutz. Hersteller von Spiele-Software werden nie nach Zugangsdaten fragen, und man sollte keine Links aus E-Mails benutzen. Am besten, man tippt die Internet-Adresse händisch in das Adressfeld des Browsers ein oder verwendet Lesezeichen. Eine gesunde Portion Skepsis kann viel bewirken und das Hobby vor Spielverderbern schützen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.