Online-Games als illegale Einnahmequelle

Wir alle spielen, jeder auf seine Weise: der eine auf dem Fußballplatz, der andere im Casino und für einige ist sogar das ganze Leben bloß ein Spiel. Für Computerspiele gilt das sogar sprichwörtlich – sie sind schon lange nichts besonderes oder gar exotisches mehr und haben inzwischen schon Millionen von Usern in ihren Bann gezogen. Ob „Tetris“ oder „Counter Strike“, für jeden ist etwas dabei.

Während man klassische Computerspiele nur alleine oder zusammen mit ein paar Freunden vor Ort spielen kann, hat das Internet seine ganz eigene Klasse von Computerspielen hervorgebracht: die Massively Multiplayer Online Role-Playing Games, kurz MMORPGs. Mit einem solchen MMORPG holt man sich die ganze Welt ins Haus – es wird von tausenden oder sogar zehntausenden Menschen rund um den Globus und rund um die Uhr gespielt. Je nach Lust und Laune kann man andere Online-Spieler kennen lernen, sich mit ihnen anfreunden, zusammen mit ihnen Seite an Seite gegen das virtuelle Böse kämpfen – kurz: spielen, spielen, spielen…

Allerdings ist auch eine MMORPG-Welt kein sorgenfreies, entrücktes Paradies. Hinter jeder Spielfigur steckt ein Mensch, und der will seinen Mitspielern nicht unbedingt nur Gutes tun. Manche unter ihnen haben sich sogar darauf spezialisiert, Schaden anzurichten: Sie ergaunern bares Geld mit dem Diebstahl von virtuellem Eigentum.

Dieser Bericht untersucht die verbrecherischen Aktivitäten der Online-Betrüger und zeigt, wie sie beim Diebstahl von Passwörtern und virtuellem Eigentum vorgehen.

Das Spiel

In jedem Online-Spiel ist der Weg das Ziel: Sinn und Zweck ist im Grunde das Umherstreifen in der virtuellen Welt. Dabei erfüllt ein Spieler verschiedene Aufgaben und wird dafür belohnt. Allerdings nicht wie sonst bei Computerspielen üblich mit Punkten oder einem Highscore, sondern mit virtuellem Geld beziehungsweise besonderen Werten. Die so im Schweiße des Angesichts erarbeiteten virtuellen Reichtümer kann der Spieler daraufhin zum Erwerb anderer Wertgegenstände ausgeben, um seinen Online-Charakter weiter aufzurüsten. So ausgestattet kann er schwierigere Aufgaben in Angriff nehmen, die ihm wiederum mehr Geld einbringen, um dann erneut durch die virtuelle Welt zu streifen… und so weiter und so fort – ein „Game Over“ gibt es in Online-Spielen nicht.


Schlachtenszene im Online-Spiel „Lineage 2“
(www.lineage2.com)

Bei Online-Games bestimmt der Entwickler die Regeln. Damit sie eingehalten werden, überwachen die Administratoren der Game-Server das laufende Spiel. Beide Personengruppen gehen einer geregelten Arbeit nach. Sie verwenden ihre Zeit und ihr Geld auf die Entwicklung und Unterhaltung der virtuellen Welten, und mit dieser Tätigkeit verdienen sie ihr Geld.


Monica Almeida / The New York Times
Support-Zentrum der Firma Blizzard,
Entwickler des Online-Spiels „World of Warcraft“
(www.nytimes.com)

Online-Games kann man in jedem Spielegeschäft kaufen, doch um in die virtuelle Welt einzutauchen, wird ein monatlicher Abo-Beitrag fällig. Mit diesem Geld bezahlt der Anbieter den Netzwerkverkehr, wartet die Game-Server, entwickelt neue virtuelle Orte und ergänzt das Spiel-Zubehör, beispielsweise um neue Schwerter, Schiffstypen etc. Weil die Server eines Online-Rollenspiels oft jahrelang laufen, kann ein Spielercharakter dort auch ebenso lange überleben.

Piraten

Die Welt der Online-Games ist überaus dynamisch: Jedes Jahr kommen neue Spiele auf den Markt und die Zahl der Spieler wächst beständig. Soviel Interesse zieht auch so manchen Betrüger an. Oftmals tauchen direkt nach erscheinen eines Online-Spiels auch entsprechende Piratenserver mit kostenlosen Welten auf, die denen des Original-Spiels detailliert nachempfunden sind.


Verkaufsstart des Online-Spiels „World of Warcraft“ in Europa
(www.worldofwarcraft.com)

Die Anzahl der Piratenserver ist enorm. Zu den Stichwörtern „private game server“ fand Google am 22. Juni 2007 mehr als 10 Millionen Seiten und ihre Zahl wächst beständig. Auf ein einziges bekanntes Online-Game kommen so unter Umständen hunderttausende von illegalen Servern. Derartige Piratenserver erfreuen sich deshalb einer so großen Beliebtheit, weil sie Spielspaß zum Nulltarif versprechen. Viele Spieler sind Jugendliche und Studenten, die Geld sparen müssen oder sich das Originalspiel schlicht nicht leisten können. Die Möglichkeit, stattdessen über einen kostenlosen Piratenserver zu spielen, erscheint daher sehr verlockend. Wozu sollte man ein Abonnement für den offiziellen Server bezahlen, wenn das gleiche Spiel auch über einen Piratenserver zugänglich ist und man lediglich für die Kosten der Internetverbindung aufkommen muss? In der Realität verhält sich die Sache allerdings ein wenig anders.

Einen Piratenserver aufzustellen ist durchaus keine uneigennützige Angelegenheit. Auch ein solcher Server muss administriert und unterhalten werden – das kostet Zeit und Geld. Welchen Nutzen haben die Piraten also davon? Die Antwort ist denkbar einfach: Die Betreiber eines Piratenservers lassen sich virtuelle Werte mit realem Geld bezahlen. Nach dem technischen Stand der Server-Ausrüstung zu urteilen, die viele Piraten anmieten, lässt sich mit derartigen Verkäufen anscheinend ein recht guter Gewinn machen.

Spieler haben mit Piratenservern oft nur Ärger. Inhaltliche Mängel, Fehler und gelegentliche Verbindungsunterbrechungen bremsen den Spielspass erheblich. Das gilt gleichermaßen für Neulinge wie Profis, die jeden Aspekt des MMORPGs kennen. Zudem bemerkt jeder Spieler früher oder später, dass es ab einem bestimmten Level sehr lange dauern kann, an virtuelle Belohnungen heranzukommen. In diesem Fall besteht die Möglichkeit, den Administrator des Piratenservers um Hilfe zu bitten. Dieser ist dann gerne bereit, virtuelle Werte für reales Geld zu verkaufen. Auf Piratenservern gibt es üblicherweise eine Preisliste für verschiedene Dienstleistungen, unter anderem für Services dieser Art.

Im Prinzip werden auf jedem Game-Server virtuelle Werte für reales Geld verkauft. Doch es hängt vom Betreiber und dessen Administrationspolitik ab, ob es sich dabei um ein legales oder illegales Geschäft handelt. Unter ehrlichen Online-Spielern ist der Kauf von Spielgeld häufig verpönt und wird auf offiziellen Game-Servern auch hart bestraft

Diebstahl

Warum aber sollte nur der Administrator eines Game-Servers virtuelle Werte verkaufen können? Auch Spieler handeln untereinander mit solchen Werten. Allerdings können solche Geschäftsbeziehungen unter Spielern vom Server-Betreiber verboten werden. Das geschieht besonders häufig bei Piratenservern, weil in so einem Fall das Geld an der Administration vorbeifließt. Die Spieler lassen sich indes nicht von Verboten beeindrucken, denn hier geht es schließlich um ihr „Geschäft“ – vor dem Bildschirm sitzen, spielen, sich im Spiel etwas verdienen und es dann wieder für reales Geld verkaufen.

Mit Online-Games können Piraten gutes Geld verdienen. Auf diversen Webseiten können sich Kunden über die Spielgeld-Preise der offiziellen Game-Server informieren. Es versteht sich von selbst, dass es sich hierbei um illegalen Kauf und Verkauf handelt: Fast alle auf diesen Webseiten aufgeführten Spiele unterstützen den Verkauf von virtuellen Werten für reales Geld nicht.

Will man sich mit Hilfe von Online-Games bereichern, so besteht immer noch die Möglichkeit, fremdes virtuelles Eigentum zu stehlen. Und wie sich zeigt, ist das noch nicht einmal besonders schwierig.

Die Authorisierungssysteme für Online-Spieler erfordern in den meisten MMORPGs lediglich Benutzername und Passwort. Die eindeutige Identifizierung des Users erlaubt dem Spieler den Zugriff auf den Server und gewährt ihm im Folgenden absolute Handlungsfreiheit innerhalb des Spiels. Gelangt ein Krimineller daher an die LogIn-Daten des Spielers, ist er daher ohne weiteres in der Lage, sein Opfer in aller Ruhe auszurauben und die gestohlenen Werte zum Verkauf anzubieten.

Derartige Hehlerware wird anderen Spielern für virtuelles oder reales Geld angeboten, bevorzugt auf Auktionsplattformen wie Ebay oder über spezielle Foren. Zudem kann vom rechtmäßigen Besitzer ein Lösegeld für die Rückgabe des Diebesguts erpresst werden. Es ist tragisch, dass Verbrecher durch diesen virtuellen Diebstahl beträchtliche reale Gewinne erzielen.


Verkauf von Spielfiguren auf ebay.com

Der Kauf von Diebesgut wird selbstverständlich geahndet, in diesem Fall gemäß den Regeln des Servers. Davon auf offiziellen Servern betroffene Spieler wissen, dass sie bei einem derartigen Vorfall im Spielehersteller beziehungsweise Administrator stets einen Verbündeten finden. Ein Spieler hat jederzeit die Möglichkeit, eine Anfrage oder Beschwerde zu verfassen und kann sich dabei sicher sein, dass man sich seinem Problem in kurzer Zeit annimmt.

Mit Piratenservern verhält es sich in vielerlei Hinsicht anders als bei offiziellen Servern. Da die Spieler dort in der Regel kein Geld für Support zahlen, können sie auch nicht auf die Bereitschaft der Serveradministration zählen, um oben beschriebene Vorfälle aufzuklären. Die Opfer haben deshalb auch praktisch keine Chance zu beweisen, dass sie am Verschwinden ihres virtuellen Eigentums unschuldig sind. Jegliche Beweise für einen Passwortdiebstahl werden vom Betreiber meistens unter dem Vorwand ignoriert, dass jedes Gespräch ebenso gefälscht sein kann wie Bilder und Screenshots. Diese lassen sich beispielsweise mit Photoshop recht effektiv nachstellen. Mit gefälschten Beweisen dieser Art ist es kein Problem, einen Unschuldigen zum Sündenbock zu machen und auf diese Weise einen unbequemen Konkurrenten los zu werden. Die Administration eines Piratenservers hat weder die Möglichkeit noch das Bestreben, derlei Vorfälle aufzuklären.

Betrüger müssen auf Piratenservern daher kaum Konsequenzen fürchten, weil gegen sie in den meisten Fällen keinerlei Sanktionen verhängt werden. Auf den offiziellen Servern geht man dagegen deutlich energischer gegen alles vor, was den Spielspaß beeinträchtigen könnte: Spieler können beispielsweise schon für den Gebrauch von Schimpfwörtern für eine begrenzte Zeit oder sogar permanent vom Spiel ausgeschlossen werden. Auch Spielern, die sich des virtuellen Diebstahls schuldig machen, wird der Zugang zum Spiel gesperrt und in einigen Fällen sogar die Netzadresse des Kriminellen blockiert.

Insgesamt gesehen ist der Passwort-Diebstahl bei Online-Games eine sehr ernste Angelegenheit. Online-Spieler befinden sich ununterbrochen im Visier von Cyber-Kriminellen.


Häufige Mitteilung über den Diebstahl des Passwortes auf den Games-Foren
( … und die passende Werbung von Google)

Methoden zum Diebstahl von Zugangspasswörtern zu Online-Games

In der Regel interessieren sich Kriminelle lediglich für den Benutzernamen und das Passwort des Opfers, und nicht für den Server, auf dem dieses registriert ist. Daraus folgt, dass der Cyber-Kriminelle weiß, auf welchem Server des MMORPGs sein Opfer spielt und vermutlich selbst auf diesem Server als Spieler registriert ist. Das gilt sowohl für Kriminelle, die ihre illegalen Geschäfte auf Piratenservern abwickeln, als auch für solche, die auf offiziellen Servern ihr Unwesen treiben. Die Gefahr, Opfer eines Passwortdiebstahls zu werden, ist für Online-Gamer auf einem Piratenserver allerdings ungleich größer.

Im Folgenden werden verschiedene Methoden betrachtet, mit denen Online-Kriminelle fremde Passwörter ausspionieren.

Social Engineering

Die einfachste Möglichkeit, an ein fremdes Passwort zu gelangen, besteht darin, das Opfer zu überzeugen, es freiwillig preiszugeben. Betrüger erreichen das beispielsweise, indem sie den Spieler innerhalb des MMORPGs oder über ein passendes Forum kontaktieren. Dabei versprechen sie dem Spieler gegen Übermittlung des Passworts besondere Gegenstände oder spezielle Hilfestellungen. Ein Krimineller, der einen derartigen Vorschlag unterbreitet, ist nicht so naiv, wie es auf den ersten Blick erscheint. Es sind vielmehr die Spieler, denen man ihre Vertrauensseligkeit zum Vorwurf machen könnte. Viele von ihnen suchen nach Mitteln, das Spiel für sich zu vereinfachen. Doch letztlich stehen sie sozusagen mittellos da, wenn ein Cyber-Krimineller ihr Passwort gestohlen hat.

Eine andere von Kriminellen eingesetzte Methode ist der Versand von Phishing-Mails im Namen der Serveradministration, in denen die Spieler unter einem bestimmten Vorwand aufgefordert werden, sich auf der in der E-Mail angegebenen Website zu authentifizieren. Nachstehend ein Beispiel für eine derartige Mitteilung, die auf die Phishing-Seite http://lineage***.ru verlinkt.

Guten Tag.

Sie erhalten diese Mitteilung als registrierter Nutzer unseres Servers (www.Lineage2.su). Da die Anzahl der registrierten Nutzer unseres Servers in den letzten Monaten extrem angestiegen ist, sind wir gezwungen diejenigen Nutzer aus unseren Datenbanken zu entfernen, die ihren Account nicht nutzen. Um zu bestätigen, dass Sie tatsächlich noch auf unserem Server spielen, ist eine Authentifizierung auf der folgenden Site unumgänglich: ********

Sollten Sie die Authentifizierung nicht innerhalb von 48 Stunden nach Erhalt dieser Mitteilung durchführen, wird Ihr Account unwiderruflich gelöscht.

Mit freundlichen Grüßen, die Serveradministration Lineage2.su


Nachricht vom Server-Administrator über eine Phishing-Attacke auf Gamer
(eu.plaync.com)

Diese Methode zum Diebstahl fremder Passwörter ist ungeachtet ihrer Einfachheit und Effektivität nicht sehr Gewinn bringend, da gerade fortgeschrittene und somit „reiche“ Spieler auf solche Finten nicht hereinfallen..

Ausnutzen von Software-Schwachstellen des Spielservers

Auf einem Spielserver laufen zahlreiche Systemdienste, Programme und Datenbanken zur Steuerung des Spielprozesses. Wie bei jeder anderen Software auch enthält deren Code Fehler und Mängel – potentielle Schwachstellen also, die Kriminelle zum Zugriff auf die Server-Datenbanken ausnutzen können. Erfahren Hacker von einer solchen Sicherheitslücke, können sie aus den Datenbanken beliebige Passwörter stehlen; ebenso chiffrierte Kennwörter, deren Entschlüsselung spezielle Programme erfordert.

Ein Beispiel: Eine Schwachstelle im Chat des Spiels ist allgemein bekannt. Isoliert der Spielehersteller nun die Chatumgebung nicht von den Spiel-Datenbanken und überprüft auch keine spezielle Symbole und Befehle, so hat ein Cyber-Krimineller leichtes Spiel. Er kann sich mit Hilfe spezieller Software oder auch manuell über den Chat Zugang zu den Spieler-Datenbanken verschaffen.


Spielchat des Online-Games „Lineage 2“
(www.lineage2.com)

Die Anzahl der Schwachstellen, über die sich Kriminelle Zugriff auf die internen Datenbanken des Servers verschaffen können, ist übrigens auch von dessen Status abhängig. Auf Piratenservern benötigt die Entwicklung eines Patches, der eine derartige Sicherheitslücke schließt, weitaus mehr Zeit als auf offiziellen Servern. Dabei ist die Frage, ob die Administration des Piratenservers überhaupt gewillt ist, die Sicherheitslücke zu schließen.

Erwähnenswert ist auch die Methode, über das Wiederherstellungssystem von vergessenen Passwörtern an fremde LogIns zu gelangen. Ein Hacker kann mit Hilfe speziell formulierter Support-Anfragen fremde Passwörter ändern und unter einem neuem, nur dem Hacker bekannten Passwort in das Spiel einsteigen. Ein anderer Weg besteht darin, die von den Anwendern eingegebenen Antworten auf die Fragen des Support-Teams einzusehen.

Das Ausnutzen von Server-Schwachstellen ist allerdings mit technischen Schwierigkeiten verbunden. Der Aufwand ist vielen Hackern die Mühe wert, doch bei weitem nicht jeder unter ihnen ist dazu auch in der Lage. Um eine solche Attacke durchzuführen, braucht es einiges an Fachwissen.

Verwendung von Schadprogrammen

In diesem Fall entwickelt der Kriminelle ein schädliches Programm, das sich auf alle möglichen Arten weiter verbreitet:

  • Im Spielerforum wird ein Link auf das Schadprogramm veröffentlicht, das sich als Spiel-Patch tarnt.;
  • Im Spiel selbst werden Spam-Mails mit Links auf das Schadprogramm versendet, das als neuester Patch ausgegeben wird;
  • Per E-Mail werden Spam-Mails mit daran angehängtem Schadprogramm oder einem passenden Link versendet;
  • Die schädlichen Programme verbreiten sich über Peer-to-Peer-Netze;
  • Schwachstellen in den Web-Browsern werden ausgenutzt, um schädliche Programme beim Besuch der Spiel-Sites zu starten.

Am häufigsten veröffentlichen Kriminelle jedoch im Spielforum oder im Spiel selbst Links für ihr Schadprogramm. Natürlich vergessen sie dabei die Tarnkappe nicht und preisen die angeblichen Vorzüge ihres Patches oder Tools lautstark an – wie im Folgenden Beispiel…

Achtung! An alle!

Im Spiel wird von verschiedenen Personen hartnäckig ein Patch angepriesen, mit Hilfe dessen sich angeblich völlig sicher Dinge schärfen ließen. Bei diesem Patch handelt es sich um einen Trojaner, der allem Anschein nach LogIns und Passwörter stiehlt. Wir bitten darum, diese Datei nicht zu starten. Sollten Sie sie jedoch bereits herunter geladen und gestartet haben, ändern Sie bitte umgehend Ihr Passwort. Wir möchten ausdrücklich darum bitten, generell keine illegalen Patches herunter zu laden, denn sie können alle nur erdenklichen Viren und Trojaner enthalten.

Die Administration übernimmt in diesen Fällen keinerlei Verantwortung für den Verlust Ihres Spiel-Personals. Verwenden Sie ausschließlich die auf unserer Site abgelegten Patches.

Es gibt sowohl hoch spezialisierte Malware, die ausschließlich auf Spieler von Online-Games abzielt. Andere Schadprogramme sind weniger wählerisch und versuchen, alle möglichen Arten von Passwörtern zu stehlen, unter anderem auch solche für MMORPGs. Die am häufigsten zum Diebstahl von Online-Passwörtern eingesetzten Schädlinge gehören entsprechend der Klassifizierung von Kaspersky Lab zu den Familien Trojan-PSW.Win32 und Trojan.Win32.Qhost.

Der erste Trojaner-Typ verwendet ein klassisches Verfahren zum Abfangen der Tastatureingaben des Opfers: Gibt der Spieler beispielsweise sein Passwort oder die Adresse des Spielservers über die Tastatur eines mit Trojan-PSW.Win32 infizierten Computers ein, so werden diese Informationen für den Hacker zugänglich.

Der zweite Trojaner-Typ Trojan.Win32.Qhost modifiziert die Datei %windir%system32driversetchosts. Dieses File enthält Informationen über statistische Übereinstimmungen der Netzadresse mit dem Namen des Servers. Wird in diese Datei eine falsche Adresse des Spielservers eingetragen, führt der Game-Client eine Autorisierung durch. Das geschieht dann nicht auf dem echten Server, sondern auf dem Computer des Kriminellen, dem somit das Passwort direkt übermittelt wird.

Auch verschiedene Vertreter der Familie Trojan-Spy.Win32.Delf sollen hier nicht unerwähnt bleiben. Sie installieren in den Einstellungen des Internet Explorers einen falschen Proxy-Server zur Verbindung mit dem Server des Online-Spiels. Ebenso wie bei der oben beschriebenen Verwendung der Datei hosts werden auch in diesem Fall alle mit dem Zugang zum Spiel verbundenen Daten an den Kriminellen übermittelt. Bei einigen Games, bei denen die Spieler ihr Passwort nicht eingeben müssen, werden den Kriminellen die Passwörter nicht in Textform übermittelt, sondern als Screenshot bei laufendem Spiel.

Einige Vertreter der Familie Trojan-PSW.Win32 fangen Web-Foren auf bestimmten Sites ab. Web-Foren werden auch dazu genutzt, Anwendern Zugangspasswörter für Online-Games zu übermitteln. Über das Web-Interface vieler Game-Server können Gamer zudem statistische oder andere das Spiel betreffende Angaben erhalten. Beim Anmelden werden allerdings auch immer der Benutzername und das Passwort des Spielers abgefragt – und genau im Moment der Übertragung vom Hacker abgefangen.

Die gestohlenen Passwörter können dem Kriminellen auf unterschiedliche Weise übermittelt werden, zum Beispiel per E-Mail, IM (Instant Messenger), durch Ablegen der Daten auf dem FTP-Server des Hackers oder durch Netzzugriff auf einen Ordner, der die Datei mit den Passwörtern erhält.


Häufige Mitteilung auf Games-Foren über den Diebstahl
des Passwortes mittels Schadprogrammen

m Schadprogramme zu verwenden, muss der Kriminelle nicht über besondere technische Fertigkeiten verfügen. Zudem lassen sich die illegalen Tools äußerst flexibel einsetzen und bieten eine hohe Rentabilität . Kein Wunder also, dass sich schädliche Programme zum Diebstahl von Passwörtern für Online-Spiele durchsetzen können.

Entwicklung von Schadprogrammen zum Diebstahl von Passwörtern für Online-Spiele

Stetige Veränderung ist der Motor der Evolution. Daher haben bei der Entwicklung von Programmen, die auf den Passwort-Diebstahl bei Online-Games abzielen, Antivirus-Lösungen eine nicht unbedeutende Rolle gespielt: Schließlich bilden sie die erste Verteidigungslinie eines Computers vor Schädlingen. Je besser der Schutz, desto schwieriger lässt er sich umgehen und desto schwerer haben es auch die entsprechenden Schadprogramme.

Die ersten Schädlinge für Online-Games waren äußerst simpel gestrickt. Heute verwenden sie jedoch die neuesten Virus-Technologien und haben sich in drei Richtungen entwickelt: Zum einen verstehen sich die Schädlinge auf den direkten Diebstahl von Passwörtern und deren Weiterleitung an den Kriminellen (trojan-psw, trojan-spy). Des Weiteren haben sie ihre Methoden zur Verbreitung von Schadprogrammen wie Würmer und Viren ständig verfeinert. Und drittens können sich auch immer mehr dieser Tools effektiv vor Antivirus-Programmen schützen (Rootkit, Killav, Packs).

Trojanische Programme

Der erste Passwort-Diebstahl für Online-Spiele mit Hilfe von Schadprogrammen wurde im Jahr 1997 registriert. Spieler des MMORPGs „Ultima Online“ übergaben daraufhin verschiedenen Antivirus-Herstellern die schädlichen Programme zur Analyse. Dabei handelte es sich größtenteils um klassische Keylogger, also trojanische Programme, die keinen direkten Bezug zu Online-Games hatten und alle vom Anwender über die Tastatur eingegebenen Informationen abfingen und sammelten – inklusive der Passwörter zu Online-Spielen.

Trojan-PSW.Win32.Lmir.a war die erste Malware, die ausschließlich Passwörter für Online-Games stahl. Dieser Trojaner trat Ende 2002 erstmals in Erscheinung und entpuppte sich als simpel gestricktes Delphi-Programm. Es suchte per Zeiteinstellung Programmfenster mit der Überschrift „Legend of Mir 2“ und übermittelte die darin eingegebenen Daten an die E-Mail-Adresse des Hackers. Das Programm war chinesischen Ursprungs und erhob keinen Anspruch auf Originalität. Trotzdem avancierte dieses simple und unscheinbare Tool schon bald zum Klassiker unter den Passwort-Dieben. Anscheinend kursierte der Quellcode irgendwann im Internet und wurde daraufhin so modifiziert, dass dieser Trojaner auch erfolgreich die Passwörter anderer Online-Spiele stehlen konnte. Das stellte sich als nicht besonders schwierig heraus, denn es musste lediglich der Name des anzugreifenden Spiels in der Suchzeile des Programms geändert werden (etwa in „MapleStory“). Diese überaus einfachen Modifikationen führten schon bald zu einer explosionsartigen Vermehrung von Schädlingen für Online-Spiele.

Verschiedene Faktoren förderten die massenhafte Verbreitung und die große Anzahl von Modifikationen des Trojan-PSW.Win32.Lmir:

  1. Die Popularität des Spiels „Legend of Mir“, auf dessen Spieler es Trojan-PSW.Win32.Lmir abgesehen hatte.
  2. Das Spiel wurde auf einer großen Anzahl von Servern gespielt.
  3. Der Trojaner ließ sich über eine Sicherheitslücke des Internet Explorers verbreiten. Die Kriminellen hackten daraufhin die Web-Site des Game-Servers und platzierten dort ein Script, das den Trojaner in die Computer der Spieler einschleuste und aktivierte.
  4. Das Erscheinen von über 30 Trojaner-Baukästen für Trojan-PSW.Win32.Lmir. Beliebt war zum Beispiel Constructor.Win32.Lmir – ein Tool, das Passwort-Trojaner für das Online-Spiel „Legend of Mir 2“ generierte.

Nachdem sich Lmir als überaus erfolgreich erwiesen hatte, begannen die Hacker, dieses Schadprogramm zu verändern und attackierten damit auch andere populäre Online-Games. Zu seinen Nachfolgern zählen etwa der auf das Spiel „Lineage 2“ ausgerichtete Trojan-PSW.Win32.Nilage und Trojan-PSW.Win32.WOW.a, der auf die Spieler von „World of Warcraft“ abzielte. Beide traten in den Jahren 2004 und 2005 in Erscheinung und gehören nach wie vor zu den meistgefragten Schädlingen, da die Popularität beider Spiele bis heute anhält. Die meisten auf den Diebstahl von Benutzernamen und Kennwort spezialisierten Trojaner befinden sich übrigens auf der Domain .tw (Taiwan) und versenden das Diebesgut per E-Mail oder über FTP-Server an die Domain .cn (China).

Die Mehrzahl der trojanischen Programme ist auf ein bestimmtes Online-Spiel ausgerichtet. Im Jahr 2006 tauchte allerdings das Schadprogramm Trojan-PSW.Win32.OnLineGames.a auf, das in der Lage ist, Passwörter für praktisch alle populären Online-Spiele gleichzeitig zu stehlen – fatalerweise auch gleich mit den Adressen der Server, auf denen das Opfer registriert ist. Die Liste der durch diesen Trojaner angreifbaren Spiele wird stetig länger.


Teil des Schadprogramms Trojan-PSW.Win32.OnLineGames.fs,
das Passwörter für Online-Games, unter anderem „MapleStory“, stiehlt

Bei einem modernen und auf den Diebstahl von Passwörtern für Online-Spiele spezialisierten Trojaner handelt es sich um eine in Delphi geschriebene dynamische Bibliothek, die sich automatisch allen im System laufenden Anwendungen hinzufügt. Wird ein aktiviertes Online-Spiel entdeckt, fängt ein solches Schadprogramm das über die Tastatur eingegebene Passwort ab, schickt es an den Hacker und löscht sich daraufhin selbst. Durch die Verwendung dynamischer Bibliotheken lässt sich ein Schädling im System leichter vor dem Anwender verbergen. Zudem lassen sich mit dieser Methode Trojaner durch Programme wie Dropper oder Viren problemlos auf dem PC des Opfers installieren.

Würmer und Viren

Angesichts der Masse von Online-Games und deren Popularität ist es nicht besonders schwierig, die Spieler selbst ausfindig zu machen. Daher werden viele Schadprogramme so entwickelt, dass sie sich selbst reproduzieren und – als logische Folge – eine möglichst große Anzahl von Spielern, Online-Games und Servern erreichen.

Der erste Wurm, der Kennwörter für Online-Games stahl, war Worm.Win32.Lewor.a. Dieser verschickte sich auf einem infizierten Computer selbst an alle in Outlook Express gespeicherten Adressen. Einmal auf dem Rechner des Opfers gelandet, begann das Programm, nach Benutzername, Kennwort und der Adresse des Spiele-Servers von „Legend of Mir“ zu suchen. Wurde Worm.Win32.Lewor.a fündig, legte er diese Informationen auf dem FTP-Server des Hackers ab. Der erste Spam-Versand von Email-Worm.Win32.Lewor.a wurde Anfang Juni 2004 registriert.

Später fügten die Autoren ihren Schadprogrammen immer häufiger eine Kopierfunktion sowie die Datei autorun.inf hinzu. Insbesondere letzteres File sorgte für eine schnellere Verbreitung des Schädlings, weil sich die Malware mit einlegen eines Datenträgers in den PC selbst aktivierte. Wurde an einen infizierten Computer beispielsweise ein USB-Stick angeschlossen, so kopierte sich der Schädling automatisch auf den Datenträger, um dann – bei Anschluss des USB-Sticks an einen anderen Rechner – auf diesem ebenfalls automatisch zu starten und auch alle anderen an diesen Computer angeschlossenen USB-Sticks zu infizieren. Opfer derartiger Attacken wurden insbesondere Kunden von Copy-Shops, in denen auf USB-Sticks gespeicherte Materialien ausdruckt werden.

Schon bald erschienen Varianten der Schadprogramme, die ausführbare Daten infizieren und sich selbst auf Netzressourcen kopieren konnten. So hatten die Entwickler einen zusätzlichen Verbreitungsweg für ihre Machwerke geschaffen und damit die Hersteller von Antivirus-Programmen herausgefordert. Denn sobald sich Schädlinge automatisch in Ordner mit freiem Netzwerk-Zugriff kopieren können, erhöht sich die Anzahl der potentiellen Opfer enorm. Das ist speziell bei Peer-to-Peer-Netzen der Fall.

Die gesamte Palette dieser Schadprogramme klassifizierte Kaspersky Lab als Worm.Win32.Viking. Dessen Nachfahre Worm.Win32.Fujack treibt die Idee der massenhaften Verbreitung von Malware für Online-Games weiter voran.

Zu den jüngsten Errungenschaften der Virenautoren für Online-Games zählen der polymorphe Virus.Win32.Alman.a und sein Nachfolger Virus.Win32.Hala.a. Diese Schadprogramme sind nicht nur in der Lage ausführbare Dateien zu infizieren, sondern sie verfügen zudem über die Funktion eines Wurms (Verbreitung über Netzressourcen), eines Rootkits (Mechanismen zur Verbergung im System) und eines Backdoors. Ein infizierter Computer wird mit einem bestimmten Internet-Server verbunden, über den der Hacker ihn unter anderem anweisen kann, ein Programm zu laden und auszuführen, das von Kaspersky Lab als Trojan-PSW.Win32.OnLineGames klassifiziert wurde.

Die Viren Alman.a und Hala.a enthalten Listen ausführbarer Dateien, die nicht infiziert werden sollen. Neben den Dateien anderer Schadprogramme sind darin auch Dateien von Online-Games-Kunden enthalten. Warum?

Da die Schutzmechanismen des Spiels und/oder Antivirusprodukte den Start veränderter ausführbarer Dateien blockieren könnten, haben die Hacker so dafür Sorge getragen, dass die Spieler das Game ungehindert auf ihren infizierten Rechnern starten können – und der eingeschleuste Trojan-PSW.Win32.OnLineGames die Passwörter abfangen und an seine Schöpfer weiterleiten kann.


Fragment einer von Virus.Win32.Alman.a infizierten Datei

Die folgende Tabelle liefert eine Übersicht über die Erscheinungszeiten der Schadprogramme für Online-Spiele:

Jahr, Monat Trojaner Würmer Viren
1997 Gewöhnliche Keyloggers    
2002, Dezember Trojan-PSW.Win32.Lmir.a    
2004, Juni   Email-Worm.Win32.Lewor.a  
2004, Oktober Trojan-PSW.Win32.Nilage.a    
2005, Februar   Worm.Win32.Viking.a  
2005, Dezember Trojan-PSW.Win32.WOW.a    
2006, August Trojan-PSW.Win32.OnLineGames.a    
2006, Dezember   Worm.Win32.Fujack.a  
2007, April     Virus.Win32.Alman.a
2007, Juni     Virus.Win32.Hala.a

Selbstschutz-Technologien von Schadprogrammen für Online-Spiele

Die ständige Auseinandersetzung mit Antivirus-Programmen zwingt die Virenautoren, ihre Machwerke mit verschiedenen Schutzmechanismen vor der Entdeckung zu schützen. Dazu wurden zunächst Packer-Programme eingesetzt, die den Code des Schadprogramms vor der signaturbasierten Überprüfung verbergen. Die Verwendung derartiger Packer schützt den Programmcode vor Disassemblierung und erschwert die Analyse der Malware.

Noch mehr Selbstschutz boten die Kill-AV-Routinen, die sämtliche Antiviren-Programme eines infizierten Computers ausschalten. Optional lassen sich die Schädlinge mit dieser Technik so im System verstecken, dass sie kein Virenschutz bemerkt.

Die jüngste Errungenschaft beim Malware-Selbstschutz sind Rootkit-Technologien. Diese verbergen die Aktivität eines Schadprogramms nicht nur vor der Antivirus-Lösung, sondern auch vor allen System-Prozessen.

Moderne Schadprogramme für Online-Games setzen in der Regel eine Kombination der drei beschriebenen Technologien ein. So haben sich die MMORPG-Schädlinge Trojan-PSW.Win32.Nilage („Lineage 2“) und Trojan-PSW.Win32.WOW.a („World of Warcraft“) in zwei unterschiedliche Richtungen entwickelt.

Die Vertreter der ersten Familie liegen in komprimierter Form vor und verstecken sich damit vor Antivirus-Scannern, die Dateien signaturbasiert überprüfen. Vertreter der zweiten Kategorie gehen dagegen auf Konfrontationskurs mit den Antivirus-Programmen und deaktivieren den Schutz eines infizierten Rechners. Überraschend ist das allerdings nicht, wenn man berücksichtigt, dass sich „Lineage 2“ insbesondere in Asien großer Popularität erfreut und „World of Warcraft“ dagegen in Amerika und Europa äußerst beliebt ist.

Ablauf eines Angriffs

Auf den Diebstahl von Passwörtern für Online-Games spezialisierte Schädlinge sind weniger gut entwickelt als andere Schadprogramme. Online-Games sind noch ein relativ neues Genre, deshalb tritt die dazu passende Malware auch erst seit relativ kurzer Zeit auf den Plan. Über einen recht langen Zeitraum hinweg handelte es sich dabei um äußerst simple, in Delphi geschriebene Programme, die problemlos von Antivirus-Scannern erkannt und gelöscht werden konnten. Doch um deren Schutz zu umgehen, haben die Autoren von MMORPG-Schädlingen während der letzten zwei Jahre ihre Strategie geändert. Attacken auf Computer von Online-Spielern laufen heute nach folgendem Muster ab: Zunächst wird ein Wurm entwickelt, der möglichst viele Funktionen beherrscht. Dazu zählen Selbstreproduktion (Email-Worm, p2p-Worm, Net-Worm), Infizierung ausführbarer Dateien (Virus), Verbergen der Anwesenheit im System (Rootkit) und vor allem ein Programm zum Diebstahl von Passwörtern (Trojan-PSW).


Schädliche Module eines Programms
zum Angriff auf Spieler von Online-Games

Daraufhin wird ein Spam-Versand dieses Wurms organisiert. Gelangt eine so präparierte Mail auf den PC des Anwenders, reicht schon eine einzige unvorsichtige Aktion aus, um alle ausführbaren Dateien auf dem Computer zu infizieren. Das geschieht beispielsweise, indem der User auf einen in der Mail angegebenen Link klickt oder eine daran angehängte Datei ausführt. Die Folgen sind verheerend: Der Wurm kann sich an alle im Adressbuch gespeicherten Kontakte verschicken und dringt in alle Netzressourcen ein, zu denen er sich Zugriff verschaffen kann. Das Opfer allerdings bemerkt von alledem nichts, da der Wurm Rootkit-Technologien verwendet, die ihn unsichtbar machen.

Bemerkenswert ist, dass nahezu alle bei derartigen Attacken gestohlenen Passwörter an E-Mail-Adressen und FTP-Server der Domain .cn (China) gesendet werden.

Geographische Besonderheiten

Beschäftigt man sich mit dem Diebstahl von Passwörtern für Online-Games, kommt man nicht an der asiatischen Spur vorbei. Laut Statistik stammt die Mehrheit der Online-Spieler aus dem asiatischen Raum. Das Problem des Passwort-Diebstahls betrifft in erster Linie China und Südkorea. Die Gründe dafür sollen an dieser Stelle nicht erörtert werden, die Fakten sehen aber folgendermaßen aus: Mehr als 90% aller Trojaner für Online-Spiele werden in China programmiert. 90% aller per Trojaner gestohlenen Passwörter lassen sich Spielern auf südkoreanischen Sites zuordnen.

In anderen Ländern tauchen nur äußerst sporadisch neue Trojaner für Online-Games auf. Auch gehen aus ihnen selten mehr als 2 oder 3 Modifikationen hervor.

Durch die die immer besser ausgebaute IT-Infrastruktur und die rasante Entwicklung im Computerspiel-Bereich werden Online-Games auch in Russland immer populärer. Charakteristisch für die russische Online-Game-Branche sind so genannte Browser Based Massive (Massively) Multiplayer Online Role-Playing Games wie das 2002 sehr beliebte „Bojcovskij Klub“ (combats.ru). Das Besondere an derartigen Online-Spielen: Einen Game-Clients gibt es nicht, alle Aktionen finden im Browser statt.


Screenshot aus dem Spiel „Bojcovskij Klub“
(www.mjournal.ru)

Die große Menge dieser russischen Games zog aber nicht nur viele Spieler an, sondern weckte auch unausweichlich das Interesse russischer Hacker. Bei russischen Attacken auf Online-Gamer wird in der Regel Phishing zur Verbreitung schädlicher Software eingesetzt. Im Netz gibt es für jedes populäre Spiel mittlerweile eine Vielzahl von gefakten Sites, deren Links den Opfern über Phishing-Mails untergeschoben werden.

Bei einer solchen Attacke wird der Anwender in einer angeblich vom Site-Administrator stammenden Mail darauf hingewiesen, dass sich die Adresse des Spielservers ändert. Versucht der Gamer daraufhin, sich über die neue Adresse im Spiel einzuloggen, erscheint lediglich eine Fehlermeldung. Auf der gefälschten Seite wurden indes die Zugangsdaten des Opfers gestohlen und damit auf der Original-Site das Passwort geändert. Das hat zur Folge, dass sich der Anwender mit seinem alten Passwort nicht mehr im Spiel einloggen kann und die Diebe andererseits nun mit ihrem„Passwort freie Hand im Spiel haben und nach Belieben über fremdes virtuelles Eigentum verfügen.

Kaspersky Lab klassifizierte die Phishing-Attacken ebenso wie die gefälschten Sites als Trojan-Spy.HTML.Fraud und Trojan-Spy.HTML.Combats. Allerdings ging die Kreativität der russischen Hacker auch nicht über die oben beschriebenen Entwicklungen hinaus. Sicherlich trifft man hier und da auf den einen oder anderen neuen Schädling, von einer breit angelegten Attacke auf Online-Spieler kann in Russland allerdings nicht die Rede sein. Derartige Angriffe beschränken sich auf gewöhnliche Keylogger, die nicht mit Online-Games in Verbindung stehen, oder eben auf Phishing.

Ein wenig Statistik

Im Gegensatz zu Russland steigt die Anzahl neuer und modifizierter Schadprogramme für Online-Games weltweit von Jahr zu Jahr. Derzeit gehen täglich mehr als 40 schädliche Programme bei Kaspersky Lab ein, die Passwörter für bekannte Online-Spiele stehlen. Die Qualität und Anzahl dieser Samples nimmt ständig zu. Das lässt sich auf die Entwicklung immer neuer Schutzmechanismen durch die Antivirus-Industrie und die wachsende Popularität von Online-Games zurückführen. Ein Großteil dieser Programme ist eigens für den Angriff auf bestimmte Spiel-Server entwickelt worden


Gesamtanzahl der Schadprogramme,
die Passwörter für Online-Games stehlen pro Jahr

Im Jahr 2002 wurden nahezu 99% aller eingesendeten Schädlinge für Online-Games als Trojan-PSW.Win32.Lmir klassifiziert. Mit erscheinen neuer und immer populärer Online-Spiele ist der Anteil an Schadprogrammen, die sich gegen „Legend of Mir“ richten, merklich gefallen. Die beliebtesten Zielscheiben trojanischer Programme sind heute die Spiele „Lineage 2“ (mehr als 40% aller Trojaner), „World of Warcraft“ (etwa 20%), „Gamania“, „Tibia“ und „Legend of Mir“ (jeweils zirka 6%). Diese Werte spiegeln gleichzeitig die Popularität der Spiele wieder, auf deren Passwörter es die Schädlinge abgesehen haben.

Die folgende Grafik zeigt, dass die Zahl der erstmals 2006 aufgekommenen Schadprogramme für die bei Hackern äußerst beliebten Online-Games „Lineage 2“ und „World of Warcraft“ bis heute stark ansteigt.


Anzahl der monatlich zu analysierenden Programme,
die Passwörter für die Online-Games „Lineage2“
und „World of Warcraft“ stehlen

Seit 2004 sind die Welten dieser Online-Games für Spieler zugänglich. In dem Maße, in dem die Popularität dieser Games unter den Spielern wuchs, stieg auch das Interesse der Kriminellen an ihnen. Im Jahr 2006 nahm die Zahl der monatlich in Erscheinung tretenden Trojaner für „Lineage 2“ und „World of Warcraft“ explosionsartig zu. 70% aller auf Online-Games spezialisierten Schädlinge entfielen 2006 auf diese beiden Titel.

Fazit

Die Zahl der Online-Games steigt beständig, die Anzahl der Spieler ebenso. Dabei existieren für praktisch alle MMORPGs auch Programme, die die entsprechenden Passwörter stehlen. Trifft das für ein bestimmtes Spiel nicht zu, so bedeutet das lediglich, dass die Spieler bisher schlicht nicht bereit sind, mit realem Geld für virtuelle Werte zu bezahlen.

Der enorme Zuwachs an Schadprogrammen für Online-Games ist nicht nur dadurch zu erklären, dass sich mit dem Handel virtueller Werte gute Geschäfte machen lassen. Den Passwort-Dieben für Online-Games droht praktisch auch keine Bestrafung. In den meisten Lizenzvereinbarungen wird lediglich darauf hingewiesen, dass alle Spielkomponenten Eigentum der Entwickler sind und der Spieler nur die ihm zur Verfügung gestellten Dienste nutzt, darunter auch das Passwort. Dementsprechend kann der Spieler einen Diebstahl lediglich bei der Administration anzeigen, nicht aber gegenüber den Rechtschutzorganen.

Aus juristischer Sicht stellt der Diebstahl von virtuellem Eigentum keinen Strafbestand dar, die Hacker können lediglich wegen der Verbreitung von Schadprogrammen oder wegen Erpressung zur Rechenschaft gezogen werden. Spieler von Online-Games befinden sich daher ständig im Visier von Kriminellen.

Die Spiele-Entwickler bemühen sich redlich, um ihre Kunden vor Hackern zu schützen: Sie implementieren neue Mechanismen zur Authentifizierung der User, kryptografische Protokolle, patchen ihre Spielclients und verändern sogar das Wertesystem innerhalb des Spielprozesses.

Auch die Antivirus-Unternehmen arbeiten permanent daran, den Diebstahl von Passwörtern für Online-Spiele zu verhindern. Ständig halten sie ihre Antivirus-Datenbanken auf dem neuesten Stand. Zudem bringen die Hersteller ihren Programmen neue heuristische Erkennungsmethoden sowie die Verhaltenmerkmale derjenigen Schadprogramme bei, die Game-Clients angreifen.

Auch eine Zusammenarbeit zwischen Game-Entwicklern und Antivirus-Unternehmen ermöglicht einen effektiven Schutz der Online-Spieler vor schädlichen Programmen. Daher wurde im Jahr 2004 eine Vereinbarung zwischen Kaspersky Lab und den Entwicklern des Online-Games „Bojcovskij Klub“ geschlossen. Dieser zufolge wird jeglicher, von den Administratoren oder Usern entdeckte verdächtige Code zur Analyse an das Virenlabor weitergeleitet, um so das virtuelle Eigentum der Spieler möglichst nachhaltig zu schützen.

Durch diese Vereinbarung konnte der Versuch, die Passwörter tausender Anwender zu stehlen, vereitelt werden. Wären die Kriminellen mit ihren Attacken in diesen Fällen erfolgreich gewesen, so hätten sie mit dem Verkauf der virtuellen Werte Dollar-Beträge in fünfstelliger Höhe erzielt.

Was können nun die Spieler tun, um sich vor Diebstählen zu schützen? Sie sollten einfach grundlegende Vorsichtmaßnahmen beachten, auf ihren gesunden Menschenverstand hören und das Beste aller Antivirus-Programme verwenden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.