Online-Games als illegale Einnahmequelle
Transcription
Online-Games als illegale Einnahmequelle
W H I T E P A P E Online-Games als illegale Einnahmequelle R Online-Games als illegale Einnahmequelle Wir alle spielen, jeder auf seine Weise: Der eine auf dem Fußballplatz, der andere im Casino, und für einige ist sogar das ganze Leben bloß ein Spiel. Für Compu terspiele gilt das sogar sprichwörtlich – sie sind schon lange nichts Besonderes oder gar Exotisches mehr und haben inzwischen schon Millionen von Usern in ihren Bann gezogen. Ob Tetris oder Counter Strike, für jeden ist etwas dabei. Allerdings ist auch eine MMORPG-Welt kein sorgen freies, entrücktes Paradies. Hinter jeder Spielfigur steckt ein Mensch, und der will seinen Mitspielern nicht unbedingt nur Gutes tun. Manche unter ihnen haben sich sogar darauf spezialisiert, Schaden anzurichten: Sie ergaunern bares Geld mit dem Diebstahl von virtu ellem Eigentum. Dieser Bericht untersucht die verbrecherischen Aktivi täten der Online-Betrüger und zeigt, wie sie beim Diebstahl von Passwörtern und virtuellem Eigentum vorgehen. Das Spiel In jedem Online-Spiel ist der Weg das Ziel: Sinn und Zweck ist im Grunde das Umherstreifen in der virtuellen Welt. Dabei erfüllt ein Spieler verschiedene Aufgaben und wird dafür belohnt. Allerdings nicht wie sonst bei Verkaufsstart des Online-Spiels World of Warcraft in Europa (Quelle: www.worldofwarcraft.com/news/wow-news2005.html) Computerspielen üblich mit Punkten oder einem High score, sondern mit virtuellem Geld beziehungsweise be sonderen Werten. Die so im Schweiße des Angesichts erarbeiteten virtuellen Reichtümer kann der Spieler da raufhin zum Erwerb anderer Wertgegenstände ausge ben, um seinen Online-Charakter weiter aufzurüsten. So ausgestattet kann er schwierigere Aufgaben in An griff nehmen, die ihm wiederum mehr Geld einbringen, um dann erneut durch die virtuelle Welt zu streifen – ein „Game Over“ gibt es in Online-Spielen nicht. Bei Online-Games bestimmt der Entwickler die Regeln. Damit sie eingehalten werden, überwachen die Admini stratoren der Game-Server das laufende Spiel. Beide Personengruppen gehen einer geregelten Arbeit nach. Sie verwenden ihre Zeit und ihr Geld auf die Entwick lung und Unterhaltung der virtuellen Welten, und mit dieser Tätigkeit verdienen sie ihr Geld. Online-Games kann man in jedem Spielegeschäft kau fen, doch um in die virtuelle Welt einzutauchen, wird ein monatlicher Abo-Beitrag fällig. Mit diesem Geld bezahlt der Anbieter den Netzwerkverkehr, wartet die GameServer, entwickelt neue virtuelle Orte und ergänzt das Spiel-Zubehör, beispielsweise um neue Schwerter oder Schiffstypen. Weil die Server eines Online-Rollenspiels oft jahrelang laufen, kann ein Spielercharakter dort auch ebenso lange überleben. Online-Games als illegale Einnahmequelle Während man klassische Computerspiele nur alleine oder zusammen mit ein paar Freunden vor Ort spielen kann, hat das Internet seine ganz eigene Klasse von Computerspielen hervorgebracht: die Massively Multi player Online Role-Playing Games, kurz MMORPGs (Massen-Mehrspieler-Online-Rollenspiele). Mit einem solchen MMORPG holt man sich die ganze Welt ins Haus – es wird von tausenden oder sogar zehntausen den Menschen rund um den Globus und rund um die Uhr gespielt. Je nach Lust und Laune kann man andere Online-Spieler kennen lernen, sich mit ihnen anfreun den, zusammen mit ihnen Seite an Seite gegen das vir tuelle Böse kämpfen – kurz: spielen, spielen, spielen. Piraten Die Welt der Online-Games ist überaus dynamisch: Jedes Jahr kommen neue Spiele auf den Markt, und die Zahl der Spieler wächst beständig. Soviel Interesse zieht auch so manchen Betrüger an. Oftmals tauchen direkt nach Erscheinen eines Online-Spiels auch ent sprechende Piratenserver mit kostenlosen Welten auf, die denen des Original-Spiels detailliert nachempfun den sind. Schlachtenszene im Online-Spiel Lineage 2 (Quelle: www.lineage2.com/pds/official/screenshots.html) Die Anzahl der Piratenserver ist enorm. Zu den Stich wörtern „private game server“ fand Google am 22. 2 Einen Piratenserver aufzustellen ist durchaus keine un eigennützige Angelegenheit. Auch ein solcher Server muss administriert und unterhalten werden – das kostet Zeit und Geld. Welchen Nutzen haben die Piraten also davon? Die Antwort ist denkbar einfach: Die Betreiber eines Piratenservers lassen sich virtuelle Werte mit rea lem Geld bezahlen. Nach dem technischen Stand der Server-Ausrüstung zu urteilen, die viele Piraten anmie ten, lässt sich mit derartigen Verkäufen anscheinend ein recht guter Gewinn machen. Spieler haben mit Piratenservern oft nur Ärger. Inhalt liche Mängel, Fehler und gelegentliche Verbindungs unterbrechungen bremsen den Spielspaß erheblich. Das gilt gleichermaßen für Neulinge wie Profis, die je den Aspekt des MMORPGs kennen. Zudem bemerkt jeder Spieler früher oder später, dass es ab einem be stimmten Level sehr lange dauern kann, an virtuelle Belohnungen heranzukommen. In diesem Fall besteht die Möglichkeit, den Administrator des Piratenservers um Hilfe zu bitten. Dieser ist dann gerne bereit, virtuelle Werte für reales Geld zu verkaufen. Auf Piratenservern gibt es üblicherweise eine Preisliste für verschiedene Dienstleistungen. Im Prinzip werden auf jedem Game-Server virtuelle Werte für reales Geld verkauft. Doch es hängt vom Betreiber und dessen Administrationspolitik ab, ob es sich dabei um ein legales oder illegales Geschäft han delt. Unter ehrlichen Online-Spielern ist der Kauf von Spielgeld häufig verpönt und wird auf offiziellen GameServern auch hart bestraft. ten beeindrucken, denn hier geht es schließlich um ihr „Geschäft“ – vor dem Bildschirm sitzen, spielen, sich im Spiel etwas verdienen und es dann wieder für reales Geld verkaufen. Mit Online-Games können Piraten gutes Geld verdie nen. Auf Webseiten wie www.game-sale.com informie ren sich Kunden über die Spielgeld-Preise der offizi ellen Game-Server. Es versteht sich von selbst, dass es sich hierbei um illegalen Kauf und Verkauf handelt: Fast alle hier aufgeführten Spiele unterstützen den Ver kauf von virtuellen Werten für reales Geld nicht. Will man sich mit Hilfe von Online-Games bereichern, so besteht immer noch die Möglichkeit, fremdes virtu elles Eigentum zu stehlen. Und wie sich zeigt, ist das noch nicht einmal besonders schwierig. Die Autorisierungssysteme für Online-Spieler erfordern in den meisten MMORPGs lediglich Benutzername und Passwort. Die eindeutige Identifizierung des Users er laubt dem Spieler den Zugriff auf den Server und ge währt ihm absolute Handlungsfreiheit innerhalb des Spiels. Gelangt ein Krimineller an die Login-Daten des Spielers, ist er daher ohne weiteres in der Lage, sein Opfer in aller Ruhe auszurauben und die gestohlenen Werte zum Verkauf anzubieten. Derartige Hehlerware wird anderen Spielern für vir tuelles oder reales Geld angeboten, bevorzugt auf Auktionsplattformen wie Ebay oder über spezielle Fo ren (zum Beispiel unter www.ezmog.com). Zudem kann vom rechtmäßigen Besitzer ein Lösegeld für die Rück gabe des Diebesguts erpresst werden. Es ist tragisch, dass Verbrecher durch diesen virtuellen Diebstahl be trächtliche reale Gewinne erzielen. Der Kauf von Diebesgut wird selbstverständlich geahn det, in diesem Fall gemäß den Regeln des Servers. Da von auf offiziellen Servern betroffene Spieler wissen, dass sie bei einem derartigen Vorfall im Spieleherstel ler beziehungsweise Administrator stets einen Verbün Online-Games als illegale Einnahmequelle Juni 2007 mehr als 10 Millionen Seiten, und ihre Zahl wächst beständig. Auf ein einziges bekanntes OnlineGame kommen so unter Umständen hunderttausende von illegalen Servern. Derartige Piratenserver erfreu en sich deshalb einer so großen Beliebtheit, weil sie Spielspaß zum Nulltarif versprechen. Viele Spieler sind Jugendliche und Studenten, die Geld sparen müssen oder sich das Originalspiel schlicht nicht leisten kön nen. Die Möglichkeit, stattdessen über einen kosten losen Piratenserver zu spielen, erscheint daher sehr verlockend. Wozu sollte man ein Abonnement für den offiziellen Server bezahlen, wenn das gleiche Spiel auch über einen Piratenserver zugänglich ist und man lediglich für die Kosten der Internetverbindung aufkom men muss? In der Realität verhält sich die Sache aller dings ein wenig anders. Diebstahl Warum aber sollte nur der Administrator eines GameServers virtuelle Werte verkaufen können? Auch Spie ler handeln untereinander mit solchen Werten. Aller dings können solche Geschäftsbeziehungen unter Spielern vom Server-Betreiber verboten werden. Das geschieht besonders häufig bei Piratenservern, weil in so einem Fall das Geld an der Administration vorbei fließt. Die Spieler lassen sich indes nicht von Verbo Verkauf von Spielfiguren auf ebay.com 3 Mit Piratenservern verhält es sich in vielerlei Hinsicht anders als mit offiziellen Servern. Da die Spieler dort in der Regel kein Geld für Support zahlen, können sie auch nicht auf die Bereitschaft der Serveradministration zählen, um oben beschriebene Vorfälle aufzuklären. Die Opfer haben deshalb auch praktisch keine Chance zu beweisen, dass sie am Verschwinden ihres virtuellen Eigentums unschuldig sind. Jegliche Beweise für einen Passwortdiebstahl werden vom Betreiber meistens un ter dem Vorwand ignoriert, dass jedes Gespräch ebenso gefälscht sein kann wie Bilder und Screenshots. Diese lassen sich beispielsweise mit Photoshop recht effektiv nachstellen. Mit gefälschten Beweisen dieser Art ist es kein Problem, einen Unschuldigen zum Sündenbock zu machen und auf diese Weise einen unbequemen Konkurrenten los zu werden. Die Administration eines Piratenservers hat weder die Möglichkeit noch das Be streben, derlei Vorfälle aufzuklären. Betrüger müssen auf Piratenservern daher kaum Kon sequenzen fürchten, weil gegen sie in den wenigsten Fällen Sanktionen verhängt werden. Auf den offiziellen Servern geht man dagegen deutlich energischer gegen alles vor, was den Spielspaß beeinträchtigen könnte: Spieler können beispielsweise schon für den Gebrauch von Schimpfwörtern für eine begrenzte Zeit oder sogar permanent vom Spiel ausgeschlossen werden. Auch Spielern, die sich des virtuellen Diebstahls schuldig machen, wird der Zugang zum Spiel gesperrt und in einigen Fällen sogar die Netzadresse des Kriminellen blockiert. Insgesamt gesehen ist der Passwort-Diebstahl bei Online-Games eine sehr ernste Angelegenheit. OnlineSpieler befinden sich ununterbrochen im Visier von Cyber-Kriminellen. Diebstahl von Online-Game-Passwörtern In der Regel interessieren sich Kriminelle lediglich für den Benutzernamen und das Passwort des Opfers und nicht für den Server, auf dem dieses registriert ist. Daraus folgt, dass der Cyber-Kriminelle weiß, auf welchem Server des MMORPGs sein Opfer spielt und vermutlich selbst auf diesem Server als Spieler regis triert ist. Das gilt sowohl für Kriminelle, die ihre illegalen Geschäfte auf Piratenservern abwickeln, als auch für solche, die auf offiziellen Servern ihr Unwesen treiben. Die Gefahr, Opfer eines Passwortdiebstahls zu werden, ist für Online-Gamer auf einem Piratenserver allerdings ungleich größer. Im Folgenden werden verschiedene Methoden betrach tet, mit denen Online-Kriminelle fremde Passwörter ausspionieren. Social Engineering Die einfachste Möglichkeit, an ein fremdes Passwort zu gelangen, besteht darin, das Opfer zu überzeu gen, es freiwillig preiszugeben. Betrüger erreichen das beispielsweise, indem sie den Spieler innerhalb des MMORPGs oder über ein passendes Forum kon taktieren. Dabei versprechen sie dem Spieler gegen Übermittlung des Passworts besondere Gegenstände oder spezielle Hilfestellungen. Ein Krimineller, der ei nen derartigen Vorschlag unterbreitet, ist nicht so naiv, wie es auf den ersten Blick erscheint. Es sind vielmehr die Spieler, denen man ihre Vertrauensseligkeit zum Vorwurf machen könnte. Viele von ihnen suchen nach Mitteln, das Spiel für sich zu vereinfachen. Doch letzt lich stehen sie sozusagen mittellos da, wenn ein CyberKrimineller ihr Passwort gestohlen hat. Eine andere von Kriminellen eingesetzte Methode ist der Versand von Phishing-Mails im Namen der ServerAdministration, in denen die Spieler unter einem be stimmten Vorwand aufgefordert werden, sich auf der in der E-Mail angegebenen Website zu authentifizieren. Nachstehend ein reales Beispiel für eine derartige Mit teilung, die auf eine Phishing-Seite verlinkte: Online-Games als illegale Einnahmequelle deten finden. Ein Spieler hat jederzeit die Möglichkeit, eine Anfrage oder Beschwerde zu verfassen und kann sich dabei sicher sein, dass man sich seines Problems in kurzer Zeit annimmt. Guten Tag. Sie erhalten diese Mitteilung als registrierter Nutzer unseres Servers (www.Lineage2.su). Da die Anzahl der registrierten Nutzer unseres Servers in den letzten Monaten extrem angestiegen ist, sind wir gezwungen diejenigen Nutzer aus unseren Datenbanken zu entfernen, die ihren Account nicht nutzen. Um zu bestätigen, dass Sie tatsächlich noch auf unserem Server spielen, ist eine Authentifizierung auf der folgenden Site unumgänglich: ******** Sollten Sie die Authentifizierung nicht innerhalb von 48 Stunden nach Erhalt dieser Mitteilung durchführen, wird Ihr Account unwiderruflich gelöscht. Schlachtenszene aus dem Spiel Eve Online (Quelle: www.eve-online.com/screenshots) Mit freundlichen Grüßen, die Serveradministration Lineage2.su 4 Ausnutzen von Schwachstellen des Spielservers Auf einem Spielserver laufen zahlreiche System dienste, Programme und Datenbanken zur Steuerung des Spielprozesses. Wie bei jeder anderen Software auch enthält deren Code Fehler und Mängel – poten tielle Schwachstellen also, die Kriminelle zum Zugriff auf die Server-Datenbanken ausnutzen können. Erfah ren Hacker von einer solchen Sicherheitslücke, können sie aus den Datenbanken beliebige Passwörter steh len, ebenso chiffrierte Kennwörter, deren Entschlüsse lung spezielle Programme erfordert. Ein Beispiel: Eine Schwachstelle im Chat des Spiels ist allgemein bekannt. Isoliert der Spielehersteller nun die Chatumgebung nicht von den Spiel-Datenbanken und überprüft auch keine spezielle Symbole und Befehle, so hat ein Cyber-Krimineller leichtes Spiel. Er kann sich mit Hilfe spezieller Software oder auch manuell über den Chat Zugang zu den Spieler-Datenbanken ver schaffen. Die Anzahl der Schwachstellen, über die sich Kriminelle Zugriff auf die internen Datenbanken des Servers ver schaffen können, ist übrigens auch von dessen Status abhängig. Auf Piratenservern benötigt die Entwicklung eines Patches, der eine derartige Sicherheitslücke schließt, weitaus mehr Zeit als auf offiziellen Servern. Dabei ist die Frage, ob die Administration des Piraten servers überhaupt gewillt ist, die Sicherheitslücke zu schließen. Erwähnenswert ist auch die Methode, über das Wieder herstellen vergessener Passwörter an fremde Logins zu gelangen. Ein Hacker kann mit Hilfe speziell formulier ter Support-Anfragen fremde Passwörter ändern und unter einem neuem, nur dem Hacker bekannten Pass wort in das Spiel einsteigen. Ein anderer Weg besteht darin, die von den Anwendern eingegebenen Antwor ten auf die Fragen des Support-Teams einzusehen. Das Ausnutzen von Server-Schwachstellen ist aller dings mit technischen Schwierigkeiten verbunden. Der Aufwand ist vielen Hackern die Mühe wert, doch bei weitem nicht jeder unter ihnen ist dazu auch in der Lage. Um eine solche Attacke durchzuführen, braucht es einiges an Fachwissen. Verwendung von Schadprogrammen In diesem Fall entwickelt der Kriminelle ein schädliches Programm, das sich auf alle möglichen Arten weiter verbreitet: ►Im Spielerforum wird ein Link auf das Schadpro gramm veröffentlicht, das sich als Spiel-Patch tarnt. ►Im Spiel selbst werden Spam-Mails mit Links auf das Schadprogramm versendet, das als neuester Patch ausgegeben wird. ►Per E-Mail werden Spam-Mails mit daran ange hängtem Schadprogramm oder einem passenden Link versendet. ►Die schädlichen Programme verbreiten sich über Peer-to-Peer-Netze. ►Schwachstellen in den Web-Browsern werden aus genutzt, um schädliche Programme beim Besuch der Spiel-Sites zu starten. Am häufigsten veröffentlichen Kriminelle jedoch im Spielforum oder im Spiel selbst Links für ihr Schadpro gramm. Natürlich vergessen sie dabei die Tarnkappe nicht und preisen die angeblichen Vorzüge ihres Tools oder Patches lautstark an – wie im folgenden Beispiel: Achtung! An alle! Im Spiel wird von verschiedenen Personen hartnäckig ein Patch angepriesen, mit Hilfe dessen sich angeblich völlig sicher Dinge schärfen ließen. Bei diesem Patch handelt es sich um einen Trojaner, der allem Anschein nach LogIns und Passwörter stiehlt. Wir bitten darum, diese Datei nicht zu starten. Sollten Sie sie jedoch bereits herunter geladen und gestartet haben, ändern Sie bitte umgehend Ihr Passwort. Wir möchten ausdrücklich darum bitten, generell keine illegalen Patches herunter zu laden, denn sie können alle nur erdenklichen Viren und Trojaner enthalten. Online-Games als illegale Einnahmequelle Diese Methode zum Diebstahl fremder Passwörter ist ungeachtet ihrer Einfachheit und Effektivität nicht sehr Gewinn bringend, da gerade fortgeschrittene und somit „reiche“ Spieler auf solche Finten nicht hereinfallen. Die Administration übernimmt in diesen Fällen keinerlei Verantwortung für den Verlust Ihres Spiel-Personals. Verwenden Sie ausschließlich die auf unserer Site abgelegten Patches. Spielchat des Online-Games Lineage 2 (Quelle: www.lineage2.com) Es gibt sowohl hoch spezialisierte Malware, die aus schließlich auf Spieler von Online-Games abzielt. An dere Schadprogramme sind weniger wählerisch und versuchen, alle möglichen Arten von Passwörtern zu stehlen, unter anderem auch solche für MMORPGs. Die am häufigsten zum Diebstahl von Online-Passwör tern eingesetzten Schädlinge gehören entsprechend der Klassifizierung von Kaspersky Lab zu den Familien Trojan-PSW.Win32 und Trojan.Win32.Qhost. 5 Der zweite Trojaner-Typ Trojan.Win32.Qhost modifiziert die Datei %windir%\system32\drivers\etc\hosts. Diese enthält Informationen über die statische Zuordnung von Hostnamen zu IP-Adressen. In diese Datei kann ein Angreifer eine falsche Adresse für den Spielserver eingetragen. Führt der Game-Client das nächste Mal eine Autorisierung durch, geschieht das nicht auf dem echten Server, sondern auf dem Computer des Krimi nellen, an den somit das Passwort übermittelt wird. Auch verschiedene Vertreter der Familie Trojan-Spy. Win32.Delf sollen hier nicht unerwähnt bleiben. Sie installieren in den Einstellungen des Internet Explorer einen falschen Proxy-Server zur Verbindung mit dem Server des Online-Spiels. Ebenso wie bei der oben be schriebenen Verwendung der hosts-Datei werden auch in diesem Fall alle mit dem Zugang zum Spiel verbun denen Daten an den Kriminellen übermittelt. Einige Vertreter der Familie Trojan-PSW.Win32 fan gen Web-Foren auf bestimmten Sites ab. Web-Foren werden auch dazu genutzt, Anwendern Zugangspass wörter für Online-Games zu übermitteln. Über das Web-Interface vieler Game-Server können Gamer zudem statistische oder andere das Spiel betreffende Angaben erhalten. Beim Anmelden werden allerdings auch immer der Benutzername und das Passwort des Spielers abgefragt – und genau im Moment der Über tragung vom Hacker abgefangen. Die gestohlenen Passwörter können dem Kriminellen auf unterschiedliche Weise übermittelt werden, zum Beispiel per E-Mail, Instant Messenger, durch Able gen der Daten auf dem FTP-Server des Hackers oder durch Netzzugriff auf einen Ordner, der die Datei mit den Passwörtern erhält. Um Schadprogramme zu verwenden, muss der Kri minelle über keine besonderen technischen Fertig keiten verfügen. Zudem lassen sich die illegalen Tools äußerst flexibel einsetzen, sie bieten somit eine hohe Rentabilität. Kein Wunder also, dass sich schädliche Programme zum Diebstahl von Passwörtern für OnlineSpiele durchsetzen konnten. Entwicklung von Schadprogrammen zum Diebstahl von Passwörtern für Online-Spiele Stetige Veränderung ist der Motor der Evolution. Da her haben bei der Entwicklung von Programmen, die auf den Passwort-Diebstahl bei Online-Games abzie len, Antiviren-Lösungen eine nicht unbedeutende Rolle gespielt: Schließlich bilden sie die erste Verteidigungs linie eines Computers gegen Schädlinge. Je besser der Schutz, desto schwieriger lässt er sich umgehen und desto schwerer haben es auch die entsprechenden Schadprogramme. Die ersten Schädlinge für Online-Games waren äußerst simpel gestrickt. Heute verwenden sie jedoch die neu esten Viren-Technologien und haben sich in drei Rich tungen entwickelt: Zum einen verstehen sich die Schäd linge auf den direkten Diebstahl von Passwörtern und deren Weiterleitung an den Kriminellen (trojan-psw, trojan-spy). Des Weiteren haben sie ihre Methoden zur Verbreitung von Schadprogrammen wie Würmer und Viren ständig verfeinert. Und drittens können sich auch immer mehr dieser Tools effektiv vor AntivirenProgrammen schützen (Rootkit, Killav, Packs). Trojanische Programme Der erste Passwort-Diebstahl für Online-Spiele mit Hilfe von Schadprogrammen wurde im Jahr 1997 registriert. Spieler des MMORPGs Ultima Online übergaben da raufhin verschiedenen Antiviren-Herstellern die schäd lichen Programme zur Analyse. Dabei handelte es sich größtenteils um klassische Keylogger, also trojanische Programme, die keinen direkten Bezug zu OnlineGames hatten und alle vom Anwender über die Tastatur eingegebenen Informationen abfingen und sammelten – inklusive der Passwörter zu Online-Spielen. Trojan-PSW.Win32.Lmir.a war die erste Malware, die ausschließlich Passwörter für Online-Games stahl. Die ser Trojaner trat Ende 2002 erstmals in Erscheinung und entpuppte sich als simpel gestricktes Delphi-Pro gramm. Es suchte per Zeiteinstellung Programmfenster mit der Überschrift Legend of Mir 2 und übermittelte die darin eingegebenen Daten an die E-Mail-Adresse des Hackers. Das Programm war chinesischen Ur sprungs und erhob keinen Anspruch auf Originalität. Trotzdem avancierte dieses simple und unscheinbare Tool schon bald zum Klassiker unter den PasswortDieben. Anscheinend kursierte der Quellcode irgend wann im Internet und wurde daraufhin so modifiziert, dass dieser Trojaner auch erfolgreich die Passwörter anderer Online-Spiele stehlen konnte. Das stellte sich als nicht besonders schwierig heraus, denn es musste lediglich der Name des anzugreifenden Spiels in der Suchzeile des Programms geändert werden (etwa in MapleStory). Diese überaus einfachen Modifikationen führten schon bald zu einer explosionsartigen Vermeh rung von Schädlingen für Online-Spiele. Online-Games als illegale Einnahmequelle Der erste Trojaner-Typ verwendet ein klassisches Ver fahren zum Abfangen der Tastatureingaben des Opfers: Gibt der Spieler beispielsweise sein Passwort oder die Adresse des Spielservers über die Tastatur eines mit Trojan-PSW.Win32 infizierten Computers ein, so wer den diese Informationen für den Hacker zugänglich. 6 ►Die Popularität des Spiels Legend of Mir, auf des sen Spieler es Trojan-PSW.Win32.Lmir abgesehen hatte. ►Das Spiel wurde auf einer großen Anzahl von Servern gespielt. ►Der Trojaner ließ sich über eine Sicherheitslücke des Internet Explorer verbreiten. Die Kriminellen hackten daraufhin die Web-Site des Game-Servers und plat zierten dort ein Script, das den Trojaner in die Com puter der Spieler einschleuste und aktivierte. ►Das Erscheinen von über 30 Trojaner-Baukästen für Trojan-PSW.Win32.Lmir. So generierte das beliebte Tool Constructor.Win32.Lmir Passwort-Trojaner für das Online-Spiel Legend of Mir 2. Nachdem sich Lmir als überaus erfolgreich erwiesen hatte, begannen die Hacker, dieses Schadprogramm zu verändern und attackierten damit auch andere popu läre Online-Games. Zu seinen Nachfolgern zählen etwa der auf das Spiel Lineage 2 ausgerichtete Trojan-PSW. Win32.Nilage und Trojan-PSW.Win32.WOW.a, der auf die Spieler von World of Warcraft abzielte. Beide tra ten in den Jahren 2004 und 2005 in Erscheinung und gehören nach wie vor zu den meistgefragten Schädlin gen, da die Popularität beider Spiele bis heute anhält. Die meisten auf den Diebstahl von Benutzernamen und Kennwort spezialisierten Trojaner befinden sich übri gens in der Top-Level-Domain .tw (Taiwan) und versen den das Diebesgut per E-Mail oder über FTP-Server an Adressen in der Top-Level-Domain .cn (China). delt es sich um eine in Delphi geschriebene dynami sche Bibliothek, die sich automatisch allen im System laufenden Anwendungen hinzufügt. Wird ein aktiviertes Online-Spiel entdeckt, fängt ein solches Schadpro gramm das über die Tastatur eingegebene Passwort ab, schickt es an den Hacker und löscht sich daraufhin selbst. Durch die Verwendung dynamischer Bibliothe ken lässt sich ein Schädling im System leichter vor dem Anwender verbergen. Zudem lassen sich mit dieser Methode Trojaner durch Programme wie Dropper oder Viren problemlos auf dem PC des Opfers installieren. Würmer und Viren Angesichts der Masse von Online-Games und deren Popularität ist es nicht besonders schwierig, die Spie ler selbst ausfindig zu machen. Daher werden viele Schadprogramme so entwickelt, dass sie sich selbst reproduzieren und – als logische Folge – eine mög lichst große Anzahl von Spielern, Online-Games und Servern erreichen. Der erste Wurm, der Kennwörter für Online-Games stahl, war Worm.Win32.Lewor.a. Dieser verschickte sich auf einem infizierten Computer selbst an alle in Outlook Express gespeicherten Adressen. Einmal auf dem Rechner des Opfers gelandet, begann das Pro gramm, nach Benutzername, Kennwort und der Adres se des Spiele-Servers von Legend of Mir zu suchen. Wurde Worm.Win32.Lewor.a fündig, legte er diese In formationen auf dem FTP-Server des Hackers ab. Der erste Spam-Versand von Email-Worm.Win32.Lewor.a wurde Anfang Juni 2004 registriert. Bei einem modernen und auf den Diebstahl von Pass wörtern für Online-Spiele spezialisierten Trojaner han Später fügten die Autoren ihren Schadprogrammen immer häufiger eine Kopierfunktion sowie die Datei autorun.inf hinzu. Insbesondere letztere sorgte für eine schnellere Verbreitung des Schädlings, weil sich die Malware mit Einlegen eines Datenträgers in den PC selbst aktivierte. Wurde an einen infizierten Computer beispielsweise ein USB-Stick angeschlossen, so ko pierte sich der Schädling automatisch auf den Daten träger, um dann – bei Anschluss des USB-Sticks an einen anderen Rechner – auf diesem ebenfalls auto matisch zu starten und auch alle anderen an diesen Computer angeschlossenen USB-Sticks zu infizieren. Opfer derartiger Attacken wurden insbesondere Kun den von Copy-Shops, in denen auf USB-Sticks gespei cherte Materialien ausdruckt werden. Teil des Schadprogramms Trojan-PSW.Win32.OnLineGames.fs, das Passwörter für Online-Games wie MapleStory stiehlt Schon bald erschienen Varianten der Schadpro gramme, die ausführbare Daten infizieren und sich selbst auf Netzressourcen kopieren konnten. So hatten die Entwickler einen zusätzlichen Verbreitungsweg für ihre Machwerke geschaffen und damit die Hersteller von Antiviren-Programmen herausgefordert. Denn so bald sich Schädlinge automatisch in Ordner mit freiem Netzwerk-Zugriff kopieren können, erhöht sich die An zahl der potentiellen Opfer enorm. Das ist speziell bei Peer-to-Peer-Netzen der Fall. Die Mehrzahl der trojanischen Programme ist auf ein bestimmtes Online-Spiel ausgerichtet. Im Jahr 2006 tauchte allerdings das Schadprogramm Trojan-PSW. Win32.OnLineGames.a auf, das in der Lage ist, Pass wörter für praktisch alle populären Online-Spiele gleich zeitig zu stehlen – fatalerweise auch gleich mit den Adressen der Server, auf denen das Opfer registriert ist. Die Liste der durch diesen Trojaner angreifbaren Spiele wird stetig länger. Online-Games als illegale Einnahmequelle Verschiedene Faktoren förderten die massenhafte Ver breitung und die große Anzahl an Modifikationen von Trojan-PSW.Win32.Lmir: 7 Schadprogramme für Online-Spiele Ablauf eines Angriffs Auf den Diebstahl von Passwörtern für OnlineGames spezialisierte 1997 gewöhnliche Keylogger Schädlinge sind weniger Dezember 2002 Trojan-PSW.Win32.Lmir.a gut entwickelt als andere Juni 2004 Email-Worm.Win32.Lewor.a Schadprogramme. OnlineOktober 2004 Trojan-PSW.Win32.Nilage.a Games sind noch ein relativ Februar 2005 Worm.Win32.Viking.a neues Genre, deshalb tritt Dezember 2005 Trojan-PSW.Win32.WOW.a die dazu passende Malwa re auch erst seit relativ kur August 2006 Trojan-PSW.Win32.OnLineGames.a zer Zeit auf den Plan. Über Dezember 2006 Worm.Win32.Fujack.a einen recht langen Zeit April 2007 Virus.Win32.Alman.a raum hinweg handelte es sich dabei um äußerst sim Selbstschutz-Technologien von Schadprogrammen ple, in Delphi geschriebene Programme, die problem für Online-Spiele los von Viren-Scannern erkannt und gelöscht werden konnten. Doch um deren Schutz zu umgehen, haben Die ständige Auseinandersetzung mit Antiviren-Pro die Autoren von MMORPG-Schädlingen während der grammen zwingt die Virenautoren, ihre Machwerke letzten zwei Jahre ihre Strategie geändert. Attacken mit verschiedenen Schutzmechanismen vor der Ent auf Computer von Online-Spielern laufen heute nach deckung zu schützen. Dazu wurden zunächst Packerfolgendem Muster ab: Zunächst wird ein Wurm entwi Programme eingesetzt, die den Code des Schad ckelt, der möglichst viele Funktionen beherrscht. Dazu programms vor der signaturbasierten Überprüfung zählen Selbstreproduktion (Email-Worm, p2p-Worm, verbergen. Die Verwendung derartiger Packer schützt Net-Worm), Infizierung ausführbarer Dateien (Virus), den Programmcode vor Disassemblierung und er Verbergen der Anwesenheit im System (Rootkit) und schwert die Analyse der Malware. vor allem ein Programm zum Diebstahl von Passwör tern (Trojan-PSW). Noch mehr Selbstschutz bieten die Kill-AV-Routinen, die sämtliche Antiviren-Programme eines infizierten Com Daraufhin wird ein Spam-Versand dieses Wurms or puters ausschalten. Optional lassen sich die Schäd ganisiert. Gelangt eine so präparierte Mail auf den PC linge mit dieser Technik so im System verstecken, dass des Anwenders, reicht schon eine einzige unvorsich sie kein Virenschutz bemerkt. tige Aktion aus, um alle ausführbaren Dateien auf dem Computer zu infizieren. Das geschieht beispielsweise, Die jüngste Errungenschaft beim Malware-Selbstschutz indem der User auf einen in der Mail angegebenen Link sind Rootkit-Technologien. Diese verbergen die Aktivi klickt oder eine daran angehängte Datei ausführt. Die tät eines Schadprogramms nicht nur vor der AntivirenFolgen sind verheerend: Der Wurm kann sich an alle Lösung, sondern auch vor allen System-Prozessen. im Adressbuch gespeicherten Kontakte verschicken und dringt in alle Netzressourcen ein, zu denen er sich Moderne Schadprogramme für Online-Games set Zugriff verschaffen kann. Das Opfer allerdings bemerkt zen in der Regel eine Kombination der drei beschrie von alledem nichts, da der Wurm Rootkit-Technologien benen Technologien ein. So haben sich die MMORPGverwendet, die ihn unsichtbar machen. Bemerkenswert Schädlinge Trojan-PSW.Win32.Nilage (Lineage 2) und ist, dass nahezu alle bei derartigen Attacken gestohle Trojan-PSW.Win32.WOW.a (World of Warcraft) in zwei nen Passwörter an E-Mail-Adressen und FTP-Server in unterschiedliche Richtungen entwickelt. der Top-Level-Domain .cn (China) gesendet werden. Erscheinungsdatum Schädling Die Vertreter der ersten Familie liegen in komprimierter Form vor und verstecken sich damit vor Viren-Scannern, die Dateien signaturbasiert überprüfen. Vertreter der zweiten Kategorie gehen dagegen auf Konfrontations kurs mit den Antiviren-Programmen und deaktivieren den Schutz eines infizierten Rechners. Überraschend ist das allerdings nicht, wenn man berücksichtigt, dass sich Lineage 2 insbesondere in Asien großer Populari tät erfreut und World of Warcraft dagegen in Amerika und Europa äußerst beliebt ist. Online-Games als illegale Einnahmequelle Die gesamte Palette dieser Schadsoftware klassifizierte Kaspersky Lab unter der Bezeichnung Worm.Win32. Viking. Dessen Nachfahre Worm.Win32.Fujack treibt die Idee der massenhaften Verbreitung von Malware für Online-Games weiter voran. Jüngste Errungen schaft der Virenautoren für Online-Games ist der po lymorphe Schädling Virus. Win32.Alman.a, der aus führbare Dateien infiziert. Geographische Besonderheiten Beschäftigt man sich mit dem Diebstahl von Passwör tern für Online-Games, kommt man nicht an der asia tischen Spur vorbei. Laut Statistik stammt die Mehrheit der Online-Spieler aus dem asiatischen Raum. Das Problem des Passwort-Diebstahls betrifft in erster Linie China und Südkorea. Die Gründe dafür sollen an die ser Stelle nicht erörtert werden, die Fakten sehen aber folgendermaßen aus: Über 90 Prozent aller Trojaner für 8 Screenshot aus dem Spiel Bojcovskij Klub (Quelle: www.mjournal.ru) Online-Spiele werden in China programmiert. 90 Pro zent aller per Trojaner gestohlenen Passwörter lassen sich Spielern auf südkoreanischen Sites zuordnen. In anderen Ländern tauchen nur äußerst sporadisch neue Trojaner für Online-Games auf. Auch gehen aus ihnen selten mehr als 2 oder 3 Modifikationen hervor. Durch die die immer besser ausgebaute IT-Infrastruktur und die rasante Entwicklung im Computerspiele-Bereich werden Online-Games auch in Russland immer popu lärer. Charakteristisch für die russische Online-GameBranche sind so genannte Browser Based Massively Multiplayer Online Role-Playing Games wie das seit 2002 sehr beliebte Bojcovskij Klub (http://combats.ru). Das Besondere an derartigen Online-Spielen: Einen Game-Clients gibt es nicht, alle Aktionen finden im Browser statt. Die große Menge dieser russischen Games zieht aber nicht nur viele Spieler an, sondern weckt auch unaus weichlich das Interesse russischer Hacker. Bei rus sischen Attacken auf Online-Gamer wird in der Regel Phishing zur Verbreitung schädlicher Software einge setzt. Im Netz gibt es für jedes populäre Spiel mittler weile eine Vielzahl von gefakten Sites, deren Links den Opfern über Phishing-Mails untergeschoben werden. Kaspersky Lab klassifiziert diese Phishing-Attacken ebenso wie die gefälschten Sites als Trojan-Spy.HTML. Fraud und Trojan-Spy.HTML.Combats. Allerdings geht die Kreativität der russischen Hacker bislang auch nicht über die oben beschriebenen Entwicklungen hinaus. Sicherlich trifft man hier und da auf den einen oder anderen neuen Schädling, von einer breit angelegten Attacke auf Online-Spieler kann in Russland allerdings nicht die Rede sein. Derartige Angriffe beschränken sich auf gewöhnliche Keylogger, die nicht mit OnlineGames in Verbindung stehen, oder eben auf Phishing. Ein wenig Statistik Anders als in Russland steigt die Anzahl neuer und modifizierter Schadprogramme für Online-Games welt weit von Jahr zu Jahr. Derzeit gehen täglich mehr als 40 schädliche Programme bei Kaspersky Lab ein, die Passwörter für bekannte Online-Spiele stehlen. Die Qualität und Anzahl dieser Samples nimmt ständig zu. Das lässt sich auf die Entwicklung immer neuer Schutz mechanismen durch die Antivirus-Industrie und die wachsende Popularität von Online-Games zurückfüh ren. Ein Großteil dieser Programme ist eigens für den Angriff auf bestimmte Spiel-Server entwickelt worden: Online-Games als illegale Einnahmequelle Screenshot aus dem Spiel Anarchy Online (Quelle: www.anarchy-online.com) Bei einer solchen Attacke wird der Anwender in einer angeblich vom Site-Administrator stammenden Mail darauf hingewiesen, dass sich die Adresse des Spiel servers ändert. Versucht der Gamer daraufhin, sich über die neue Adresse im Spiel einzuloggen, erscheint lediglich eine Fehlermeldung. Auf der gefälschten Seite wurden indes die Zugangsdaten des Opfers gestohlen und damit auf der Original-Site das Passwort geändert. Das hat zur Folge, dass sich der Anwender mit seinem alten Passwort nicht mehr im Spiel einloggen kann und die Diebe andererseits nun mit ihrem Passwort freie Hand im Spiel haben und nach Belieben über fremdes virtuelles Eigentum verfügen. 9 Im Jahr 2002 wurden nahezu 99 Prozent aller einge sandten Schädlinge für Online-Games als Trojan-PSW. Win32.Lmir klassifiziert. Mit dem Erscheinen neuer und immer populärer Online-Spiele ist der Anteil an Schad programmen, die sich gegen Legend of Mir richten, merklich gefallen. Die beliebtesten Zielscheiben troja nischer Programme sind heute die Spiele Lineage 2 (mehr als 40 Prozent aller Trojaner), World of Warcraft (etwa 20 Prozent), Gamania, Tibia und Legend of Mir (jeweils zirka 6 Prozent). Diese Werte spiegeln gleich zeitig die Popularität der Spiele wieder, auf deren Pass wörter es die Schädlinge abgesehen haben. der Entwickler sind und der Spieler nur die ihm zur Verfügung gestellten Dienste nutzt, darunter auch das Passwort. Dementsprechend kann der Spieler einen Diebstahl lediglich bei der Administration anzeigen, nicht aber gegenüber den Rechtschutzorganen. Die folgende Grafik zeigt, dass die Zahl der erstmals 2006 aufgekommenen Schadprogramme für die bei Hackern äußerst beliebten Online-Games Lineage 2 und World of Warcraft bis heute stark ansteigt. Die Zahlen 1 bis 12 auf der x-Achse stehen dabei für die einzelnen Monate des Jahres 2006: Die Spiele-Entwickler bemühen sich redlich, um ihre Kunden vor Hackern zu schützen: Sie implementie ren neue Mechanismen zur Authentifizierung der User, kryptografische Protokolle, patchen ihre Spiel-Clients und verändern sogar das Wertesystem innerhalb des Spielprozesses. Die Antiviren-Unternehmen arbeiten permanent daran, den Diebstahl von Passwörtern für Online-Spiele zu ver hindern. Ständig halten sie ihre Antiviren-Datenbanken auf dem neuesten Stand. Zudem bringen die Herstel ler ihren Programmen neue heuristische Erkennungs methoden sowie die Verhaltenmerkmale derjenigen Schadprogramme bei, die Game-Clients angreifen. Seit 2004 sind die Welten dieser Online-Games für Spieler zugänglich. In dem Maße, in dem die Popula rität dieser Games unter den Spielern wächst, steigt auch das Interesse der Kriminellen an ihnen. Im Jahr 2006 nahm die Zahl der monatlich in Erscheinung tre tenden Trojaner für Lineage 2 und World of Warcraft explosionsartig zu. 60 bis 70 Prozent aller auf OnlineGames spezialisierten Schädlinge entfielen 2006 auf diese beiden Titel. Fazit Die Zahl der Online-Games steigt beständig, die Anzahl der Spieler ebenso. Dabei existieren für praktisch alle MMORPGs auch Programme, die die entsprechenden Passwörter stehlen. Trifft das für ein bestimmtes Spiel nicht zu, so bedeutet das lediglich, dass dessen Spieler bisher schlicht nicht bereit sind, mit realem Geld für vir tuelle Werte zu bezahlen. Der enorme Zuwachs an Schadprogrammen für Online-Games ist nicht nur dadurch zu erklären, dass sich mit dem Handel virtueller Werte gute Geschäfte machen lassen. Den Passwort-Dieben für OnlineGames droht praktisch auch keine Bestrafung. In den meisten Lizenzvereinbarungen wird lediglich darauf hingewiesen, dass alle Spielkomponenten Eigentum Auch eine Zusammenarbeit zwischen Spiele-Entwick lern und Antiviren-Unternehmen ermöglicht einen ef fektiven Schutz der Online-Spieler vor schädlichen Programmen. Daher wurde im Jahr 2004 eine Verein barung zwischen Kaspersky Lab und den Entwicklern des Online-Games Bojcovskij Klub geschlossen. Die ser zufolge wird jeglicher von den Administratoren oder Usern entdeckte verdächtige Code zur Analyse an das Virenlabor weitergeleitet, um so das virtuelle Eigentum der Spieler möglichst nachhaltig zu schützen. Online-Games als illegale Einnahmequelle Aus juristischer Sicht stellt der Diebstahl von virtuellem Eigentum keinen Strafbestand dar, die Hacker können lediglich wegen der Verbreitung von Schadprogram men oder wegen Erpressung zur Rechenschaft gezo gen werden. Spieler von Online-Games befinden sich daher ständig im Visier von Kriminellen. Durch diese Vereinbarung konnte bereits ein Versuch, die Passwörter tausender Anwender zu stehlen, verei telt werden. Wären die Kriminellen mit ihren Attacken in diesen Fällen erfolgreich gewesen, so hätten sie mit dem Verkauf der virtuellen Werte Dollar-Beträge in fünfstelliger Höhe erzielt. Was können nun die Spieler tun, um sich vor Dieb stählen zu schützen? Sie sollten einfach grund legende Vorsichtmaßnahmen beachten, auf ihren ge sunden Menschenverstand hören und das Beste aller Antiviren-Programme verwenden. Sergej Golovanov Virenanalyst, Kaspersky Lab 10 Kaspersky Lab reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf ITSicherheitsbedrohungen wie Viren, Spyware, Crime ware, Hacker, Phishing-Attacken und Spam. Online-Games als illegale Einnahmequelle Kaspersky Lab Die Produkte des global agierenden Unternehmens mit Hauptsitz in Moskau haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und minimalen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des SecurityExperten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender ITSicherheitsunternehmen. Kontakt Kaspersky Labs GmbH Steinheilstr. 13 85053 Ingolstadt Telefon: +49 (0)841 981 89 0 Telefax: +49 (0)841 981 89 100 info@kaspersky.de www.kaspersky.de 11