Online-Games als illegale Einnahmequelle

W
H
I
T
E
P
A
P
E
Online-Games als
illegale Einnahmequelle
R
Online-Games als illegale Einnahmequelle
Wir alle spielen, jeder auf seine Weise: Der eine auf
dem Fußballplatz, der andere im Casino, und für einige
ist sogar das ganze Leben bloß ein Spiel. Für Compu­
terspiele gilt das sogar sprichwörtlich – sie sind schon
lange nichts Besonderes oder gar Exotisches mehr und
haben inzwischen schon Millionen von Usern in ihren
Bann gezogen. Ob Tetris oder Counter Strike, für jeden
ist etwas dabei.
Allerdings ist auch eine MMORPG-Welt kein sorgen­
freies, entrücktes Paradies. Hinter jeder Spielfigur
steckt ein Mensch, und der will seinen Mitspielern nicht
unbedingt nur Gutes tun. Manche unter ihnen haben
sich sogar darauf spezialisiert, Schaden anzurichten:
Sie ergaunern bares Geld mit dem Diebstahl von virtu­
ellem Eigentum.
Dieser Bericht untersucht die verbrecherischen Aktivi­
täten der Online-Betrüger und zeigt, wie sie beim
Dieb­stahl von Passwörtern und virtuellem Eigentum
­vorgehen.
Das Spiel
In jedem Online-Spiel ist der Weg das Ziel: Sinn und
Zweck ist im Grunde das Umherstreifen in der virtuellen
Welt. Dabei erfüllt ein Spieler verschiedene Aufgaben
und wird dafür belohnt. Allerdings nicht wie sonst bei
Verkaufsstart des Online-Spiels World of Warcraft in Europa
(Quelle: www.worldofwarcraft.com/news/wow-news2005.html)
Computerspielen üblich mit Punkten oder einem High­
score, sondern mit virtuellem Geld beziehungsweise be­
sonderen Werten. Die so im Schweiße des Angesichts
erarbeiteten virtuellen Reichtümer kann der Spieler da­
raufhin zum Erwerb anderer Wertgegenstände ausge­
ben, um seinen Online-Charakter weiter aufzurüsten.
So ausgestattet kann er schwierigere Aufgaben in An­
griff nehmen, die ihm wiederum mehr Geld einbringen,
um dann erneut durch die virtuelle Welt zu streifen – ein
„Game Over“ gibt es in Online-Spielen nicht.
Bei Online-Games bestimmt der Entwickler die Regeln.
Damit sie eingehalten werden, überwachen die Admini­
stratoren der Game-Server das laufende Spiel. Beide
Personengruppen gehen einer geregelten Arbeit nach.
Sie verwenden ihre Zeit und ihr Geld auf die Entwick­
lung und Unterhaltung der virtuellen Welten, und mit
dieser Tätigkeit verdienen sie ihr Geld.
Online-Games kann man in jedem Spielegeschäft kau­
fen, doch um in die virtuelle Welt einzutauchen, wird ein
monatlicher Abo-Beitrag fällig. Mit diesem Geld bezahlt
der Anbieter den Netzwerkverkehr, wartet die GameServer, entwickelt neue virtuelle Orte und ergänzt das
Spiel-Zubehör, beispielsweise um neue Schwerter oder
Schiffstypen. Weil die Server eines Online-Rollenspiels
oft jahrelang laufen, kann ein Spielercharakter dort
auch ebenso lange überleben.
Online-Games als illegale Einnahmequelle
Während man klassische Computerspiele nur alleine
oder zusammen mit ein paar Freunden vor Ort spielen
kann, hat das Internet seine ganz eigene Klasse von
Computerspielen hervorgebracht: die Massively Multi­
player Online Role-Playing Games, kurz MMORPGs
(Massen-Mehrspieler-Online-Rollenspiele). Mit einem
solchen MMORPG holt man sich die ganze Welt ins
Haus – es wird von tausenden oder sogar zehntausen­
den Menschen rund um den Globus und rund um die
Uhr gespielt. Je nach Lust und Laune kann man andere
Online-Spieler kennen lernen, sich mit ihnen anfreun­
den, zusammen mit ihnen Seite an Seite gegen das vir­
tuelle Böse kämpfen – kurz: spielen, spielen, spielen.
Piraten
Die Welt der Online-Games ist überaus dynamisch:
Jedes Jahr kommen neue Spiele auf den Markt, und
die Zahl der Spieler wächst beständig. Soviel Interesse
zieht auch so manchen Betrüger an. Oftmals tauchen
direkt nach Erscheinen eines Online-Spiels auch ent­
sprechende Piratenserver mit kostenlosen Welten auf,
die denen des Original-Spiels detailliert nachempfun­
den sind.
Schlachtenszene im Online-Spiel Lineage 2
(Quelle: www.lineage2.com/pds/official/screenshots.html)
Die Anzahl der Piratenserver ist enorm. Zu den Stich­
wörtern „private game server“ fand Google am 22.
2
Einen Piratenserver aufzustellen ist durchaus keine un­
eigennützige Angelegenheit. Auch ein solcher Server
muss administriert und unterhalten werden – das kostet
Zeit und Geld. Welchen Nutzen haben die Piraten also
davon? Die Antwort ist denkbar einfach: Die Betreiber
eines Piratenservers lassen sich virtuelle Werte mit rea­
lem Geld bezahlen. Nach dem technischen Stand der
Server-Ausrüstung zu urteilen, die viele Piraten anmie­
ten, lässt sich mit derartigen Verkäufen anscheinend
ein recht guter Gewinn machen.
Spieler haben mit Piratenservern oft nur Ärger. Inhalt­
liche Mängel, Fehler und gelegentliche Verbindungs­
unterbrechungen bremsen den Spielspaß erheblich.
Das gilt gleichermaßen für Neulinge wie Profis, die je­
den Aspekt des MMORPGs kennen. Zudem bemerkt
jeder Spieler früher oder später, dass es ab einem be­
stimmten Level sehr lange dauern kann, an virtuelle
Belohnungen heranzukommen. In diesem Fall besteht
die Möglichkeit, den Administrator des Piratenservers
um Hilfe zu bitten. Dieser ist dann gerne bereit, virtuelle
Werte für reales Geld zu verkaufen. Auf Piratenservern
gibt es üblicherweise eine Preisliste für verschiedene
Dienstleistungen.
Im Prinzip werden auf jedem Game-Server virtuelle
Werte für reales Geld verkauft. Doch es hängt vom
Betreiber und dessen Administrationspolitik ab, ob es
sich dabei um ein legales oder illegales Geschäft han­
delt. Unter ehrlichen Online-Spielern ist der Kauf von
Spielgeld häufig verpönt und wird auf offiziellen GameServern auch hart bestraft.
ten beeindrucken, denn hier geht es schließlich um ihr
„Geschäft“ – vor dem Bildschirm sitzen, spielen, sich im
Spiel etwas verdienen und es dann wieder für reales
Geld verkaufen.
Mit Online-Games können Piraten gutes Geld verdie­
nen. Auf Webseiten wie www.game-sale.com informie­
ren sich Kunden über die Spielgeld-Preise der offizi­
ellen Game-Server. Es versteht sich von selbst, dass
es sich hierbei um illegalen Kauf und Verkauf handelt:
Fast alle hier aufgeführten Spiele unterstützen den Ver­
kauf von virtuellen Werten für reales Geld nicht.
Will man sich mit Hilfe von Online-Games bereichern,
so besteht immer noch die Möglichkeit, fremdes virtu­
elles Eigentum zu stehlen. Und wie sich zeigt, ist das
noch nicht einmal besonders schwierig.
Die Autorisierungssysteme für Online-Spieler erfordern
in den meisten MMORPGs lediglich Benutzer­name und
Passwort. Die eindeutige Identifizierung des Users er­
laubt dem Spieler den Zugriff auf den Server und ge­
währt ihm absolute Handlungsfreiheit innerhalb des
Spiels. Gelangt ein Krimineller an die Login-Daten des
Spielers, ist er daher ohne weiteres in der Lage, sein
Opfer in aller Ruhe auszurauben und die gestohlenen
Werte zum Verkauf anzubieten.
Derartige Hehlerware wird anderen Spielern für vir­
tuelles oder reales Geld angeboten, bevorzugt auf
Auktions­plattformen wie Ebay oder über spezielle Fo­
ren (zum Beispiel unter www.ezmog.com). Zudem kann
vom rechtmäßigen Besitzer ein Lösegeld für die Rück­
gabe des Diebesguts erpresst werden. Es ist tragisch,
dass Verbrecher durch diesen virtuellen Diebstahl be­
trächtliche reale Gewinne erzielen.
Der Kauf von Diebesgut wird selbstverständlich geahn­
det, in diesem Fall gemäß den Regeln des Servers. Da­
von auf offiziellen Servern betroffene Spieler wissen,
dass sie bei einem derartigen Vorfall im Spieleherstel­
ler beziehungsweise Administrator stets einen Verbün­
Online-Games als illegale Einnahmequelle
Juni 2007 mehr als 10 Millionen Seiten, und ihre Zahl
wächst beständig. Auf ein einziges bekanntes OnlineGame kommen so unter Umständen hunderttausende
von illegalen Servern. Derartige Piratenserver erfreu­
en sich deshalb einer so großen Beliebtheit, weil sie
Spielspaß zum Nulltarif versprechen. Viele Spieler sind
Jugendliche und Studenten, die Geld sparen müssen
oder sich das Originalspiel schlicht nicht leisten kön­
nen. Die Möglichkeit, stattdessen über einen kosten­
losen Piratenserver zu spielen, erscheint daher sehr
verlockend. Wozu sollte man ein Abonnement für den
offiziellen Server bezahlen, wenn das gleiche Spiel
auch über einen Piratenserver zugänglich ist und man
lediglich für die Kosten der Internetverbindung aufkom­
men muss? In der Realität verhält sich die Sache aller­
dings ein wenig anders.
Diebstahl
Warum aber sollte nur der Administrator eines GameServers virtuelle Werte verkaufen können? Auch Spie­
ler handeln untereinander mit solchen Werten. Aller­
dings können solche Geschäftsbeziehungen unter
Spielern vom Server-Betreiber verboten werden. Das
geschieht besonders häufig bei Piratenservern, weil in
so einem Fall das Geld an der Administration vorbei­
fließt. Die Spieler lassen sich indes nicht von Verbo­
Verkauf von Spielfiguren auf ebay.com
3
Mit Piratenservern verhält es sich in vielerlei Hinsicht
anders als mit offiziellen Servern. Da die Spieler dort
in der Regel kein Geld für Support zahlen, können sie
auch nicht auf die Bereitschaft der Serveradministra­tion
zählen, um oben beschriebene Vorfälle aufzuklären.
Die Opfer haben deshalb auch praktisch keine Chance
zu beweisen, dass sie am Verschwinden ihres virtuellen
Eigentums unschuldig sind. Jegliche Beweise für einen
Passwortdiebstahl werden vom Betreiber meistens un­
ter dem Vorwand ignoriert, dass jedes Gespräch ebenso
gefälscht sein kann wie Bilder und Screen­shots. Diese
lassen sich beispielsweise mit Photoshop recht effektiv
nachstellen. Mit gefälschten Beweisen dieser Art ist es
kein Problem, einen Unschuldigen zum Sünden­bock
zu machen und auf diese Weise einen unbequemen
Konkurrenten los zu werden. Die Administration eines
Piratenservers hat weder die Möglichkeit noch das Be­
streben, derlei Vorfälle aufzuklären.
Betrüger müssen auf Piratenservern daher kaum Kon­
sequenzen fürchten, weil gegen sie in den wenigsten
Fällen Sanktionen verhängt werden. Auf den offiziellen
Servern geht man dagegen deutlich energischer gegen
alles vor, was den Spielspaß beeinträchtigen könnte:
Spieler können beispielsweise schon für den Gebrauch
von Schimpfwörtern für eine begrenzte Zeit oder sogar
permanent vom Spiel ausgeschlossen werden. Auch
Spielern, die sich des virtuellen Diebstahls schuldig
machen, wird der Zugang zum Spiel gesperrt und in
einigen Fällen sogar die Netzadresse des Kriminellen
blockiert.
Insgesamt gesehen ist der Passwort-Diebstahl bei
Online-Games eine sehr ernste Angelegenheit. OnlineSpieler befinden sich ununterbrochen im Visier von
Cyber-Kriminellen.
Diebstahl von Online-Game-Passwörtern
In der Regel interessieren sich Kriminelle lediglich für
den Benutzernamen und das Passwort des Opfers
und nicht für den Server, auf dem dieses registriert
ist. Daraus folgt, dass der Cyber-Kriminelle weiß, auf
welchem Server des MMORPGs sein Opfer spielt und
vermutlich selbst auf diesem Server als Spieler regis­
triert ist. Das gilt sowohl für Kriminelle, die ihre illegalen
Geschäfte auf Piratenservern abwickeln, als auch für
solche, die auf offiziellen Servern ihr Unwesen treiben.
Die Gefahr, Opfer eines Passwortdiebstahls zu werden,
ist für ­Online-Gamer auf einem Piratenserver allerdings
ungleich größer.
Im Folgenden werden verschiedene Methoden betrach­
tet, mit denen Online-Kriminelle fremde Pass­wörter
ausspionieren.
Social Engineering
Die einfachste Möglichkeit, an ein fremdes Passwort
zu gelangen, besteht darin, das Opfer zu überzeu­
gen, es freiwillig preiszugeben. Betrüger erreichen
das beispielsweise, indem sie den Spieler innerhalb
des MMORPGs oder über ein passendes Forum kon­
taktieren. Dabei versprechen sie dem Spieler gegen
Übermittlung des Passworts besondere Gegenstände
oder spezielle Hilfestellungen. Ein Krimineller, der ei­
nen derartigen Vorschlag unterbreitet, ist nicht so naiv,
wie es auf den ersten Blick erscheint. Es sind vielmehr
die Spieler, denen man ihre Vertrauensseligkeit zum
Vorwurf machen könnte. Viele von ihnen suchen nach
Mitteln, das Spiel für sich zu vereinfachen. Doch letzt­
lich stehen sie sozusagen mittellos da, wenn ein CyberKrimineller ihr Passwort gestohlen hat.
Eine andere von Kriminellen eingesetzte Methode ist
der Versand von Phishing-Mails im Namen der ServerAdministration, in denen die Spieler unter einem be­
stimmten Vorwand aufgefordert werden, sich auf der in
der E-Mail angegebenen Website zu authentifizieren.
Nachstehend ein reales Beispiel für eine derartige Mit­
teilung, die auf eine Phishing-Seite verlinkte:
Online-Games als illegale Einnahmequelle
deten finden. Ein Spieler hat jederzeit die Möglichkeit,
eine Anfrage oder Beschwerde zu verfassen und kann
sich dabei sicher sein, dass man sich seines Problems
in kurzer Zeit annimmt.
Guten Tag.
Sie erhalten diese Mitteilung als registrierter Nutzer unseres
Servers (www.Lineage2.su). Da die Anzahl der registrierten Nutzer unseres Servers in den letzten Monaten extrem
angestiegen ist, sind wir gezwungen diejenigen Nutzer aus
unseren Datenbanken zu entfernen, die ihren Account nicht
nutzen. Um zu bestätigen, dass Sie tatsächlich noch auf unserem Server spielen, ist eine Authentifizierung auf der folgenden Site unumgänglich: ********
Sollten Sie die Authentifizierung nicht innerhalb von 48
Stunden nach Erhalt dieser Mitteilung durchführen, wird Ihr
­Account unwiderruflich gelöscht.
Schlachtenszene aus dem Spiel Eve Online
(Quelle: www.eve-online.com/screenshots)
Mit freundlichen Grüßen, die Serveradministration Lineage2.su
4
Ausnutzen von Schwachstellen des Spielservers
Auf einem Spielserver laufen zahlreiche System­
dienste, Programme und Datenbanken zur Steuerung
des Spielprozesses. Wie bei jeder anderen Software
auch enthält deren Code Fehler und Mängel – poten­
tielle Schwachstellen also, die Kriminelle zum Zugriff
auf die Server-Datenbanken ausnutzen können. Erfah­
ren Hacker von einer solchen Sicherheitslücke, können
sie aus den Datenbanken beliebige Passwörter steh­
len, ebenso chiffrierte Kennwörter, deren Entschlüsse­
lung spezielle Programme erfordert.
Ein Beispiel: Eine Schwachstelle im Chat des Spiels ist
allgemein bekannt. Isoliert der Spielehersteller nun die
Chatumgebung nicht von den Spiel-Datenbanken und
überprüft auch keine spezielle Symbole und Befehle,
so hat ein Cyber-Krimineller leichtes Spiel. Er kann sich
mit Hilfe spezieller Software oder auch manuell über
den Chat Zugang zu den Spieler-Datenbanken ver­
schaffen.
Die Anzahl der Schwachstellen, über die sich ­Kriminelle
Zugriff auf die internen Datenbanken des Servers ver­
schaffen können, ist übrigens auch von dessen Status
abhängig. Auf Piratenservern benötigt die Entwicklung
eines Patches, der eine derartige Sicherheitslücke
schließt, weitaus mehr Zeit als auf offiziellen Servern.
Dabei ist die Frage, ob die Administration des Piraten­
servers überhaupt gewillt ist, die Sicherheitslücke zu
schließen.
Erwähnenswert ist auch die Methode, über das Wieder­
herstellen vergessener Passwörter an fremde Logins zu
gelangen. Ein Hacker kann mit Hilfe speziell formulier­
ter Support-Anfragen fremde Passwörter ändern und
unter einem neuem, nur dem Hacker bekannten Pass­
wort in das Spiel einsteigen. Ein anderer Weg besteht
darin, die von den Anwendern eingegebenen Antwor­
ten auf die Fragen des Support-Teams einzusehen.
Das Ausnutzen von Server-Schwachstellen ist aller­
dings mit technischen Schwierigkeiten verbunden.
Der Aufwand ist vielen Hackern die Mühe wert, doch
bei weitem nicht jeder unter ihnen ist dazu auch in der
Lage. Um eine solche Attacke durchzuführen, braucht
es einiges an Fachwissen.
Verwendung von Schadprogrammen
In diesem Fall entwickelt der Kriminelle ein schädliches
Programm, das sich auf alle möglichen Arten weiter
verbreitet:
►Im Spielerforum wird ein Link auf das Schadpro­
gramm veröffentlicht, das sich als Spiel-Patch tarnt.
►Im Spiel selbst werden Spam-Mails mit Links auf das
Schadprogramm versendet, das als neuester Patch
ausgegeben wird.
►Per E-Mail werden Spam-Mails mit daran ange­
hängtem Schadprogramm oder einem passenden
Link versendet.
►Die schädlichen Programme verbreiten sich über
Peer-to-Peer-Netze.
►Schwachstellen in den Web-Browsern werden aus­
genutzt, um schädliche Programme beim Besuch
der Spiel-Sites zu starten.
Am häufigsten veröffentlichen Kriminelle jedoch im
Spielforum oder im Spiel selbst Links für ihr Schadpro­
gramm. Natürlich vergessen sie dabei die Tarnkappe
nicht und preisen die angeblichen Vorzüge ihres Tools
oder Patches lautstark an – wie im folgenden Beispiel:
Achtung! An alle!
Im Spiel wird von verschiedenen Personen hartnäckig ein
Patch angepriesen, mit Hilfe dessen sich angeblich völlig
sicher Dinge schärfen ließen. Bei diesem Patch handelt es
sich um einen Trojaner, der allem Anschein nach LogIns und
Passwörter stiehlt. Wir bitten darum, diese Datei nicht zu starten. Sollten Sie sie jedoch bereits herunter geladen und gestartet haben, ändern Sie bitte umgehend Ihr Passwort. Wir
möchten ausdrücklich darum bitten, generell keine illegalen
Patches herunter zu laden, denn sie können alle nur erdenklichen Viren und Trojaner enthalten.
Online-Games als illegale Einnahmequelle
Diese Methode zum Diebstahl fremder Passwörter ist
ungeachtet ihrer Einfachheit und Effektivität nicht sehr
Gewinn bringend, da gerade fortgeschrittene und somit
„reiche“ Spieler auf solche Finten nicht hereinfallen.
Die Administration übernimmt in diesen Fällen keinerlei Verantwortung für den Verlust Ihres Spiel-Personals. Verwenden
Sie ausschließlich die auf unserer Site abgelegten Patches.
Spielchat des Online-Games Lineage 2
(Quelle: www.lineage2.com)
Es gibt sowohl hoch spezialisierte Malware, die aus­
schließlich auf Spieler von Online-Games abzielt. An­
dere Schadprogramme sind weniger wählerisch und
versuchen, alle möglichen Arten von Passwörtern zu
stehlen, unter anderem auch solche für MMORPGs.
Die am häufigsten zum Diebstahl von Online-Passwör­
tern eingesetzten Schädlinge gehören entsprechend
der Klassifizierung von Kaspersky Lab zu den Familien
Trojan-PSW.Win32 und Trojan.Win32.Qhost.
5
Der zweite Trojaner-Typ Trojan.Win32.Qhost modifiziert
die Datei %windir%\system32\drivers\etc\hosts. Diese
enthält Informationen über die statische Zuordnung
von Hostnamen zu IP-Adressen. In diese Datei kann
ein Angreifer eine falsche Adresse für den Spielserver
eingetragen. Führt der Game-Client das nächste Mal
eine Autorisierung durch, geschieht das nicht auf dem
echten Server, sondern auf dem Computer des Krimi­
nellen, an den somit das Passwort übermittelt wird.
Auch verschiedene Vertreter der Familie Trojan-Spy.
Win32.Delf sollen hier nicht unerwähnt bleiben. Sie
installieren in den Einstellungen des Internet Explorer
einen falschen Proxy-Server zur Verbindung mit dem
Server des Online-Spiels. Ebenso wie bei der oben be­
schriebenen Verwendung der hosts-Datei werden auch
in diesem Fall alle mit dem Zugang zum Spiel verbun­
denen Daten an den Kriminellen übermittelt.
Einige Vertreter der Familie Trojan-PSW.Win32 fan­
gen Web-Foren auf bestimmten Sites ab. Web-Foren
werden auch dazu genutzt, Anwendern Zugangspass­
wörter für Online-Games zu übermitteln. Über das
Web-Interface vieler Game-Server können Gamer
zudem statistische oder andere das Spiel betreffende
Angaben erhalten. Beim Anmelden werden allerdings
auch immer der Benutzername und das Passwort des
Spielers abgefragt – und genau im Moment der Über­
tragung vom Hacker abgefangen.
Die gestohlenen Passwörter können dem Kriminellen
auf unterschiedliche Weise übermittelt werden, zum
Beispiel per E-Mail, Instant Messenger, durch Able­
gen der Daten auf dem FTP-Server des Hackers oder
durch Netzzugriff auf einen Ordner, der die Datei mit
den Passwörtern erhält.
Um Schadprogramme zu verwenden, muss der Kri­
minelle über keine besonderen technischen Fertig­
keiten verfügen. Zudem lassen sich die illegalen Tools
äußerst flexibel einsetzen, sie bieten somit eine hohe
Rentabilität. Kein Wunder also, dass sich schädliche
Programme zum Diebstahl von Passwörtern für OnlineSpiele durchsetzen konnten.
Entwicklung von Schadprogrammen zum Diebstahl
von Passwörtern für Online-Spiele
Stetige Veränderung ist der Motor der Evolution. Da­
her haben bei der Entwicklung von Programmen, die
auf den Passwort-Diebstahl bei Online-Games abzie­
len, Antiviren-Lösungen eine nicht unbedeutende Rolle
gespielt: Schließlich bilden sie die erste Verteidigungs­
linie eines Computers gegen Schädlinge. Je besser der
Schutz, desto schwieriger lässt er sich umgehen und
desto schwerer haben es auch die entsprechenden
Schadprogramme.
Die ersten Schädlinge für Online-Games waren ­äußerst
simpel gestrickt. Heute verwenden sie jedoch die neu­
esten Viren-Technologien und haben sich in drei Rich­
tungen entwickelt: Zum einen verstehen sich die Schäd­
linge auf den direkten Diebstahl von Passwörtern und
deren Weiterleitung an den Kriminellen (trojan-psw,
trojan-spy). Des Weiteren haben sie ihre Methoden
zur Verbreitung von Schadprogrammen wie Würmer
und Viren ständig verfeinert. Und drittens können sich
auch immer mehr dieser Tools effektiv vor Anti­virenProgrammen schützen (Rootkit, Killav, Packs).
Trojanische Programme
Der erste Passwort-Diebstahl für Online-Spiele mit Hilfe
von Schadprogrammen wurde im Jahr 1997 registriert.
Spieler des MMORPGs Ultima Online übergaben da­
raufhin verschiedenen Antiviren-Herstellern die schäd­
lichen Programme zur Analyse. Dabei handelte es sich
größtenteils um klassische Keylogger, also trojanische
Programme, die keinen direkten Bezug zu OnlineGames hatten und alle vom Anwender über die Tastatur
eingegebenen Informationen abfingen und sammelten
– inklusive der Passwörter zu Online-Spielen.
Trojan-PSW.Win32.Lmir.a war die erste Malware, die
ausschließlich Passwörter für Online-Games stahl. Die­
ser Trojaner trat Ende 2002 erstmals in Erscheinung
und entpuppte sich als simpel gestricktes Delphi-Pro­
gramm. Es suchte per Zeiteinstellung Programmfenster
mit der Überschrift Legend of Mir 2 und übermittelte
die darin eingegebenen Daten an die E-Mail-Adresse
des Hackers. Das Programm war chinesischen Ur­
sprungs und erhob keinen Anspruch auf Originalität.
Trotzdem avancierte dieses simple und unscheinbare
Tool schon bald zum Klassiker unter den PasswortDieben. Anscheinend kursierte der Quellcode irgend­
wann im Internet und wurde daraufhin so modifiziert,
dass dieser Trojaner auch erfolgreich die Passwörter
anderer Online-Spiele stehlen konnte. Das stellte sich
als nicht besonders schwierig heraus, denn es musste
lediglich der Name des anzugreifenden Spiels in der
Suchzeile des Programms geändert werden (etwa in
­MapleStory). Diese überaus einfachen Modifikationen
führten schon bald zu einer explosionsartigen Vermeh­
rung von Schädlingen für Online-Spiele.
Online-Games als illegale Einnahmequelle
Der erste Trojaner-Typ verwendet ein klassisches Ver­
fahren zum Abfangen der Tastatureingaben des Opfers:
Gibt der Spieler beispielsweise sein Passwort oder die
Adresse des Spielservers über die Tastatur eines mit
Trojan-PSW.Win32 infizierten Computers ein, so wer­
den diese Informationen für den Hacker zugänglich.
6
►Die Popularität des Spiels Legend of Mir, auf des­
sen Spieler es Trojan-PSW.Win32.Lmir abgesehen
­hatte.
►Das Spiel wurde auf einer großen Anzahl von ­Servern
gespielt.
►Der Trojaner ließ sich über eine Sicherheitslücke des
Internet Explorer verbreiten. Die Kriminellen hackten
daraufhin die Web-Site des Game-Servers und plat­
zierten dort ein Script, das den Trojaner in die Com­
puter der Spieler einschleuste und aktivierte.
►Das Erscheinen von über 30 Trojaner-Baukästen für
Trojan-PSW.Win32.Lmir. So generierte das beliebte
Tool Constructor.Win32.Lmir Passwort-Trojaner für
das Online-Spiel Legend of Mir 2.
Nachdem sich Lmir als überaus erfolgreich erwiesen
hatte, begannen die Hacker, dieses Schadprogramm
zu verändern und attackierten damit auch andere popu­
läre Online-Games. Zu seinen Nachfolgern zählen etwa
der auf das Spiel Lineage 2 ausgerichtete ­Trojan-PSW.
Win32.Nilage und Trojan-PSW.Win32.WOW.a, der auf
die Spieler von World of Warcraft abzielte. Beide tra­
ten in den Jahren 2004 und 2005 in Erscheinung und
gehören nach wie vor zu den meistgefragten Schädlin­
gen, da die Popularität beider Spiele bis heute anhält.
Die meisten auf den Diebstahl von Benutzernamen und
Kennwort spezialisierten Trojaner befinden sich übri­
gens in der Top-Level-Domain .tw (Taiwan) und versen­
den das Diebesgut per E-Mail oder über FTP-Server an
Adressen in der Top-Level-Domain .cn (China).
delt es sich um eine in Delphi geschriebene dyna­mi­
sche Bibliothek, die sich automatisch allen im System
laufenden Anwendungen hinzufügt. Wird ein aktiviertes
Online-Spiel entdeckt, fängt ein solches Schadpro­
gramm das über die Tastatur eingegebene Passwort
ab, schickt es an den Hacker und löscht sich daraufhin
selbst. Durch die Verwendung dynamischer Bibliothe­
ken lässt sich ein Schädling im System leichter vor dem
Anwender verbergen. Zudem lassen sich mit dieser
Methode Trojaner durch Programme wie Dropper oder
Viren problemlos auf dem PC des Opfers installieren.
Würmer und Viren
Angesichts der Masse von Online-Games und deren
Popularität ist es nicht besonders schwierig, die Spie­
ler selbst ausfindig zu machen. Daher werden viele
Schadprogramme so entwickelt, dass sie sich selbst
reproduzieren und – als logische Folge – eine mög­
lichst große Anzahl von Spielern, Online-Games und
Servern erreichen.
Der erste Wurm, der Kennwörter für Online-Games
stahl, war Worm.Win32.Lewor.a. Dieser verschickte
sich auf einem infizierten Computer selbst an alle in
Outlook Express gespeicherten Adressen. Einmal auf
dem Rechner des Opfers gelandet, begann das Pro­
gramm, nach Benutzername, Kennwort und der Adres­
se des Spiele-Servers von Legend of Mir zu suchen.
Wurde Worm.Win32.Lewor.a fündig, legte er diese In­
formationen auf dem FTP-Server des Hackers ab. Der
erste Spam-Versand von Email-Worm.Win32.Lewor.a
wurde Anfang Juni 2004 registriert.
Bei einem modernen und auf den Diebstahl von Pass­
wörtern für Online-Spiele spezialisierten ­Trojaner han­
Später fügten die Autoren ihren Schadprogrammen
immer häufiger eine Kopierfunktion sowie die Datei
­autorun.inf hinzu. Insbesondere letztere sorgte für eine
schnellere Verbreitung des Schädlings, weil sich die
Malware mit Einlegen eines Datenträgers in den PC
selbst aktivierte. Wurde an einen infizierten Computer
beispielsweise ein USB-Stick angeschlossen, so ko­
pierte sich der Schädling automatisch auf den Daten­
träger, um dann – bei Anschluss des USB-Sticks an
einen anderen Rechner – auf diesem ebenfalls auto­
matisch zu starten und auch alle anderen an diesen
Computer angeschlossenen USB-Sticks zu infizieren.
Opfer derartiger Attacken wurden insbesondere Kun­
den von Copy-Shops, in denen auf USB-Sticks gespei­
cherte Materialien ausdruckt werden.
Teil des Schadprogramms Trojan-PSW.Win32.OnLineGames.fs,
das Passwörter für Online-Games wie MapleStory stiehlt
Schon bald erschienen Varianten der Schadpro­
gramme, die ausführbare Daten infizieren und sich
selbst auf Netzressourcen kopieren konnten. So hatten
die Entwickler einen zusätzlichen Verbreitungsweg für
ihre Machwerke geschaffen und damit die Hersteller
von Antiviren-Programmen herausgefordert. Denn so­
bald sich Schädlinge automatisch in Ordner mit freiem
Netzwerk-Zugriff kopieren können, erhöht sich die An­
zahl der potentiellen Opfer enorm. Das ist speziell bei
Peer-to-Peer-Netzen der Fall.
Die Mehrzahl der trojanischen Programme ist auf ein
bestimmtes Online-Spiel ausgerichtet. Im Jahr 2006
tauchte allerdings das Schadprogramm Trojan-PSW.
Win32.OnLineGames.a auf, das in der Lage ist, Pass­
wörter für praktisch alle populären Online-Spiele gleich­
zeitig zu stehlen – fatalerweise auch gleich mit den
Adressen der Server, auf denen das Opfer registriert
ist. Die Liste der durch diesen Trojaner angreifbaren
Spiele wird stetig länger.
Online-Games als illegale Einnahmequelle
Verschiedene Faktoren förderten die massenhafte Ver­
breitung und die große Anzahl an Modifikationen von
Trojan-PSW.Win32.Lmir:
7
Schadprogramme für Online-Spiele
Ablauf eines Angriffs
Auf den Diebstahl von
Passwörtern für OnlineGames
spezialisierte
1997
gewöhnliche Keylogger
Schädlinge sind weniger
Dezember 2002
Trojan-PSW.Win32.Lmir.a
gut ­entwickelt als andere
Juni 2004
Email-Worm.Win32.Lewor.a
Schadprogram­me. OnlineOktober 2004
Trojan-PSW.Win32.Nilage.a
Games sind noch ein relativ
Februar 2005
Worm.Win32.Viking.a
neues Genre, deshalb tritt
Dezember 2005
Trojan-PSW.Win32.WOW.a
die dazu passende Malwa­
re auch erst seit relativ kur­
August 2006
Trojan-PSW.Win32.OnLineGames.a
zer Zeit auf den Plan. Über
Dezember 2006
Worm.Win32.Fujack.a
einen recht langen Zeit­
April 2007
Virus.Win32.Alman.a
raum hinweg handelte es
sich dabei um äußerst sim­
Selbstschutz-Technologien von Schadprogrammen
ple, in Delphi geschriebene Programme, die problem­
für Online-Spiele
los von Viren-Scannern erkannt und gelöscht werden
konnten. Doch um deren Schutz zu umgehen, haben
Die ständige Auseinandersetzung mit Antiviren-Pro­
die Autoren von MMORPG-Schädlingen während der
grammen zwingt die Virenautoren, ihre Machwerke
letzten zwei Jahre ihre Strategie geändert. Attacken
mit verschiedenen Schutzmechanismen vor der Ent­
auf Computer von Online-Spielern laufen heute nach
deckung zu schützen. Dazu wurden zunächst Packerfolgendem Muster ab: Zunächst wird ein Wurm entwi­
Programme eingesetzt, die den Code des Schad­
ckelt, der möglichst viele Funktionen beherrscht. Dazu
programms vor der signaturbasierten Überprüfung
zählen Selbstreproduktion (Email-Worm, p2p-Worm,
verbergen. Die Verwendung derartiger Packer schützt
Net-Worm), Infizierung ausführbarer Dateien (Virus),
den Programmcode vor Disassemblierung und er­
Verbergen der Anwesenheit im System (Rootkit) und
schwert die Analyse der Malware.
vor allem ein Programm zum Diebstahl von Passwör­
tern (Trojan-PSW).
Noch mehr Selbstschutz bieten die Kill-AV-Routinen, die
sämtliche Antiviren-Programme eines infizierten Com­
Daraufhin wird ein Spam-Versand dieses Wurms or­
puters ausschalten. Optional lassen sich die Schäd­
ganisiert. Gelangt eine so präparierte Mail auf den PC
linge mit dieser Technik so im System verstecken, dass
des Anwenders, reicht schon eine einzige unvorsich­
sie kein Virenschutz bemerkt.
tige Aktion aus, um alle ausführbaren Dateien auf dem
Computer zu infizieren. Das geschieht beispielsweise,
Die jüngste Errungenschaft beim Malware-Selbstschutz
indem der User auf einen in der Mail angegebenen Link
sind Rootkit-Technologien. Diese verbergen die Aktivi­
klickt oder eine daran angehängte Datei ausführt. Die
tät eines Schadprogramms nicht nur vor der AntivirenFolgen sind verheerend: Der Wurm kann sich an alle
Lösung, sondern auch vor allen System-Prozessen.
im Adressbuch gespeicherten Kontakte verschicken
und dringt in alle Netzressourcen ein, zu denen er sich
Moderne Schadprogramme für Online-Games set­
Zugriff verschaffen kann. Das Opfer allerdings bemerkt
zen in der Regel eine Kombination der drei beschrie­
von alledem nichts, da der Wurm Rootkit-Technologien
benen Technologien ein. So haben sich die MMORPGverwendet, die ihn unsichtbar machen. Bemerkenswert
Schädlinge Trojan-PSW.Win32.Nilage (Lineage 2) und
ist, dass nahezu alle bei derartigen Attacken gestohle­
Trojan-PSW.Win32.WOW.a (World of Warcraft) in zwei
nen Passwörter an E-Mail-Adressen und FTP-Server in
unterschiedliche Richtungen entwickelt.
der Top-Level-Domain .cn (China) gesendet werden.
Erscheinungsdatum
Schädling
Die Vertreter der ersten Familie liegen in komprimierter
Form vor und verstecken sich damit vor Viren-Scannern,
die Dateien signaturbasiert überprüfen. Vertreter der
zweiten Kategorie gehen dagegen auf Konfrontations­
kurs mit den Antiviren-Programmen und deaktivieren
den Schutz eines infizierten Rechners. Überraschend
ist das allerdings nicht, wenn man berücksichtigt, dass
sich Lineage 2 insbesondere in Asien großer Populari­
tät erfreut und World of Warcraft dagegen in Amerika
und Europa äußerst beliebt ist.
Online-Games als illegale Einnahmequelle
Die gesamte Palette dieser
Schadsoftware klassifi­zierte
Kaspersky Lab unter der
Bezeichnung Worm.Win32.
Viking. ­Dessen Nachfahre
Worm.Win32.Fujack treibt
die Idee der massenhaften
Verbreitung von Malware
für Online-Games weiter
voran. Jüngste Errungen­
schaft der Virenautoren für
Online-Games ist der po­
lymorphe Schädling ­Virus.
Win32.Alman.a, der aus­
führbare Dateien infiziert.
Geographische Besonderheiten
Beschäftigt man sich mit dem Diebstahl von Passwör­
tern für Online-Games, kommt man nicht an der asia­
tischen Spur vorbei. Laut Statistik stammt die Mehrheit
der Online-Spieler aus dem asiatischen Raum. Das
Problem des Passwort-Diebstahls betrifft in erster Linie
China und Südkorea. Die Gründe dafür sollen an die­
ser Stelle nicht erörtert werden, die Fakten sehen aber
folgendermaßen aus: Über 90 Prozent aller Trojaner für
8
Screenshot aus dem Spiel Bojcovskij Klub
(Quelle: www.mjournal.ru)
Online-Spiele werden in China programmiert. 90 Pro­
zent aller per Trojaner gestohlenen Passwörter lassen
sich Spielern auf südkoreanischen Sites zuordnen. In
anderen Ländern tauchen nur äußerst sporadisch neue
Trojaner für Online-Games auf. Auch gehen aus ihnen
selten mehr als 2 oder 3 Modifikationen hervor.
Durch die die immer besser ausgebaute IT-Infrastruktur
und die rasante Entwicklung im Computerspiele-­Bereich
werden Online-Games auch in Russland immer popu­
lärer. Charakteristisch für die russische Online-GameBranche sind so genannte Browser Based Massively
Multiplayer Online Role-Playing Games wie das seit
2002 sehr beliebte Bojcovskij Klub (http://­combats.ru).
Das Besondere an derartigen Online-Spielen: ­Einen
Game-Clients gibt es nicht, alle Aktionen finden im
Browser statt.
Die große Menge dieser russischen Games zieht aber
nicht nur viele Spieler an, sondern weckt auch unaus­
weichlich das Interesse russischer Hacker. Bei rus­
sischen Attacken auf Online-Gamer wird in der Regel
Phishing zur Verbreitung schädlicher Software einge­
setzt. Im Netz gibt es für jedes populäre Spiel mittler­
weile eine Vielzahl von gefakten Sites, deren Links den
Opfern über Phishing-Mails untergeschoben werden.
Kaspersky Lab klassifiziert diese Phishing-Attacken
ebenso wie die gefälschten Sites als Trojan-Spy.HTML.
Fraud und Trojan-Spy.HTML.Combats. Allerdings geht
die Kreativität der russischen Hacker bislang auch nicht
über die oben beschriebenen Entwicklungen hinaus.
Sicherlich trifft man hier und da auf den einen oder
anderen neuen Schädling, von einer breit angelegten
Attacke auf Online-Spieler kann in Russland allerdings
nicht die Rede sein. Derartige Angriffe beschränken
sich auf gewöhnliche Keylogger, die nicht mit OnlineGames in Verbindung stehen, oder eben auf Phishing.
Ein wenig Statistik
Anders als in Russland steigt die Anzahl neuer und
modifizierter Schadprogramme für Online-Games welt­
weit von Jahr zu Jahr. Derzeit gehen täglich mehr als
40 schädliche Programme bei Kaspersky Lab ein, die
Passwörter für bekannte Online-Spiele stehlen. Die
Qualität und Anzahl dieser Samples nimmt ständig zu.
Das lässt sich auf die Entwicklung immer neuer Schutz­
mechanismen durch die Antivirus-Industrie und die
wachsende Popularität von Online-Games zurückfüh­
ren. Ein Großteil dieser Programme ist eigens für den
Angriff auf bestimmte Spiel-Server entwickelt worden:
Online-Games als illegale Einnahmequelle
Screenshot aus dem Spiel Anarchy Online
(Quelle: www.anarchy-online.com)
Bei einer solchen Attacke wird der Anwender in einer
angeblich vom Site-Administrator stammenden Mail
darauf hingewiesen, dass sich die Adresse des Spiel­
servers ändert. Versucht der Gamer daraufhin, sich
über die neue Adresse im Spiel einzuloggen, erscheint
lediglich eine Fehlermeldung. Auf der gefälschten Seite
wurden indes die Zugangsdaten des Opfers gestohlen
und damit auf der Original-Site das Passwort geändert.
Das hat zur Folge, dass sich der Anwender mit seinem
alten Passwort nicht mehr im Spiel einloggen kann und
die Diebe andererseits nun mit ihrem Passwort freie
Hand im Spiel haben und nach Belieben über fremdes
virtuelles Eigentum verfügen.
9
Im Jahr 2002 wurden nahezu 99 Prozent aller einge­
sandten Schädlinge für Online-Games als Trojan-PSW.
Win32.Lmir klassifiziert. Mit dem Erscheinen neuer und
immer populärer Online-Spiele ist der Anteil an Schad­
programmen, die sich gegen Legend of Mir richten,
merklich gefallen. Die beliebtesten Zielscheiben troja­
nischer Programme sind heute die Spiele Lineage 2
(mehr als 40 Prozent aller Trojaner), World of Warcraft
(etwa 20 Prozent), Gamania, Tibia und Legend of Mir
(jeweils zirka 6 Prozent). Diese Werte spiegeln gleich­
zeitig die Popularität der Spiele wieder, auf deren Pass­
wörter es die Schädlinge abgesehen haben.
der Entwickler sind und der Spieler nur die ihm zur
Verfügung gestellten Dienste nutzt, darunter auch das
Passwort. Dementsprechend kann der Spieler einen
Diebstahl ­lediglich bei der Administration anzeigen,
nicht aber gegenüber den Rechtschutzorganen.
Die folgende Grafik zeigt, dass die Zahl der erstmals
2006 aufgekommenen Schadprogramme für die bei
Hackern äußerst beliebten Online-Games Lineage
2 und World of Warcraft bis heute stark ansteigt. Die
Zahlen 1 bis 12 auf der x-Achse stehen dabei für die
einzelnen Monate des Jahres 2006:
Die Spiele-Entwickler bemühen sich redlich, um ihre
Kunden vor Hackern zu schützen: Sie implementie­
ren neue Mechanismen zur Authentifizierung der User,
kryptografische Protokolle, patchen ihre Spiel-Clients
und verändern sogar das Wertesystem innerhalb des
Spielprozesses.
Die Antiviren-Unternehmen arbeiten permanent daran,
den Diebstahl von Passwörtern für Online-Spiele zu ver­
hindern. Ständig halten sie ihre Antiviren-Datenbanken
auf dem neuesten Stand. Zudem bringen die Herstel­
ler ihren Programmen neue heuristische Erkennungs­
methoden sowie die Verhaltenmerkmale derjenigen
Schadprogramme bei, die Game-Clients angreifen.
Seit 2004 sind die Welten dieser Online-Games für
Spieler zugänglich. In dem Maße, in dem die Popula­
rität dieser Games unter den Spielern wächst, steigt
auch das Interesse der Kriminellen an ihnen. Im Jahr
2006 nahm die Zahl der monatlich in Erscheinung tre­
tenden Trojaner für Lineage 2 und World of Warcraft
explo­sionsartig zu. 60 bis 70 Prozent aller auf OnlineGames spezialisierten Schädlinge entfielen 2006 auf
diese beiden Titel.
Fazit
Die Zahl der Online-Games steigt beständig, die Anzahl
der Spieler ebenso. Dabei existieren für praktisch alle
MMORPGs auch Programme, die die entsprechenden
Passwörter stehlen. Trifft das für ein bestimmtes Spiel
nicht zu, so bedeutet das lediglich, dass dessen ­Spieler
bisher schlicht nicht bereit sind, mit realem Geld für vir­
tuelle Werte zu bezahlen.
Der enorme Zuwachs an Schadprogrammen für
­Online-Games ist nicht nur dadurch zu erklären, dass
sich mit dem Handel virtueller Werte gute Geschäfte
machen lassen. Den Passwort-Dieben für OnlineGames droht praktisch auch keine Bestrafung. In den
meisten Lizenzvereinbarungen wird lediglich darauf
hingewiesen, dass alle Spielkomponenten Eigentum
Auch eine Zusammenarbeit zwischen Spiele-Entwick­
lern und Antiviren-Unternehmen ermöglicht einen ef­
fektiven Schutz der Online-Spieler vor schädlichen
Programmen. Daher wurde im Jahr 2004 eine Verein­
barung zwischen Kaspersky Lab und den Entwicklern
des Online-Games Bojcovskij Klub geschlossen. Die­
ser zufolge wird jeglicher von den Administratoren oder
Usern entdeckte verdächtige Code zur Analyse an das
Virenlabor weitergeleitet, um so das virtuelle Eigentum
der Spieler möglichst nachhaltig zu schützen.
Online-Games als illegale Einnahmequelle
Aus juristischer Sicht stellt der Diebstahl von virtuellem
Eigentum keinen Strafbestand dar, die Hacker können
lediglich wegen der Verbreitung von Schadprogram­
men oder wegen Erpressung zur Rechenschaft gezo­
gen werden. Spieler von Online-Games befinden sich
daher ständig im Visier von Kriminellen.
Durch diese Vereinbarung konnte bereits ein Versuch,
die Passwörter tausender Anwender zu stehlen, verei­
telt werden. Wären die Kriminellen mit ihren Attacken
in diesen Fällen erfolgreich gewesen, so hätten sie
mit dem Verkauf der virtuellen Werte Dollar-Beträge in
fünfstelliger Höhe erzielt.
Was können nun die Spieler tun, um sich vor Dieb­
stählen zu schützen? Sie sollten einfach grund­
legende Vorsichtmaßnahmen beachten, auf ihren ge­
sunden Menschenverstand hören und das Beste aller
­Antiviren-Programme verwenden.
Sergej Golovanov
Virenanalyst, Kaspersky Lab
10
Kaspersky Lab reagiert im weltweiten Vergleich von
Antivirus-Herstellern meist am schnellsten auf ITSicherheitsbedrohungen wie Viren, Spyware, Crime­
ware, Hacker, Phishing-Attacken und Spam.
Online-Games als illegale Einnahmequelle
Kaspersky Lab
Die Produkte des global agierenden Unternehmens mit
Hauptsitz in Moskau haben sich sowohl bei Endkunden
als auch bei KMUs, Großunternehmen und im mobilen
Umfeld durch ihre erstklassigen Erkennungsraten und
minimalen Reaktionszeiten einen Namen gemacht.
Neben den Stand-Alone-Lösungen des SecurityExperten ist Kaspersky-Technologie Bestandteil
vieler Produkte und Dienstleistungen führender ITSicherheitsunternehmen.
Kontakt
Kaspersky Labs GmbH
Steinheilstr. 13
85053 Ingolstadt
Telefon: +49 (0)841 981 89 0
Telefax: +49 (0)841 981 89 100
[email protected]
www.kaspersky.de
11