In unserem Forum wird seit einer Woche nach den Gründen und Hintergründen bezüglich der Accountübernahmen gerätselt. Der Mitarbeiter Kaltonis, bei Blizzard für den technischen Support zuständig, hat einige der Punkte, die User beschäftigen, angesprochen. Wir geben Euch eine kurze Übersicht über den derzeitigen Stand der Dinge aus Sicht Blizzards und geben am Ende erneut eine kleine Liste mit Empfehlungen heraus. Für diejenigen die den Accountplünderungen-Thread schon komplett gelesen haben, wird nicht viel Neues vorhanden sein, allen anderen sei diese News ans Herz gelegt.
Vorab kann man auch hier sagen, dass Blizzard nicht den Usern allgemein die Schuld zuweist, sondern mehrere Umstände anführt, die den Rechner eines Nutzers auch ohne dessen Wissen und bei allgemein guter Sicherheit kompromittieren können.
- Das Hacken eines Accounts – („Kompromittieren“ wäre hier wohl der bessere Ausdruck, da kein echtes Hacken stattfindet), das wir in Diablo 3 sehen, entspricht dem, was WoW-Spieler seit fünf Jahren erleben. Das Traurige daran ist, dass, wenn niemand bei diesen Typen / Firmen Gold oder ingame-Items kaufen würde, würde es auch diese Art der unerwünschten Account-Eingriffe nicht geben.
- Eingriffe dieser Art, die nicht von diesen Firmen kommen, sind in der Tat äußerst selten. Sie rauben einen Spieler aus und verkaufen es an andere Spieler. Leider haben diese Firme eine Menge Ressourcen um die Accountdaten direkt von Euch zu bekommen oder über euren Computer. Während manche Phishingmail lächerlich erscheint, sind es die Trojaner, die infizierten Webseiten etc. leider nicht.
- Wenn Ihr den physischen oder den mobilen Authenticator verwendet, sind die Chancen, dass euer Account kompromittiert wird, sehr sehr gering. Ich selbst habe die MSInfo-Files der Handvoll Leute, die trotz eines Authenticators (gemeint ist hier der ältere und wesentlich unsichere Dial-in Authenticator, Anm. der Red.) kompromittiert wurden, untersucht. Die schiere Zahl an Backdoorprogrammen und anderer Malware auf diesen System war erschütternd. Vielleicht zufällig oder auch nicht, hatten die gleiche Leute auch noch eine verstörende Vielzahl von Filesharing- und Downloadprogrammen laufen, davon einige von denen bekannt ist, dass sie unsicher sind.
- Zudem sind Account-Kompromittierungen ein großes Geschäft in manchen Ländern. Die haben Leute auf ihrer Gehaltsliste, die falsche Gerüchte á la „wurde durch meinen Authenticator gehackt“ verbreiten, einfach nur um die Leute davon abzuhalten, diesen zu benutzen. Wir verlangen 6.50 Dollar (USA) für dieses Gerät und das ist es auch, was uns deren Herstellung und Vertrieb kosten. Die mobile Version (App) kostet nichts, weil wir keine Firma mit der Herstellung beauftragen müssen.
- Diese Firmen verwenden eine ganze Bandbreite an Methoden um an Daten zu gelangen. Ein guter Freund von mir – ein wirklich guter Netzwerkadmin übrigens, hatte niemals Probleme mit seinem Rechner. Er hatte alles im Griff und hat sich deshalb keinen Authenticator besorgt. Da gab es aber mal eine Sicherheitslücke in Adobe Flash und er hat das Sicherheitsupdate eine Woche hinausgeschoben. Der Grund warum ich diese Anekdote erzähle, ist klar: Sein WoW-Account wurde damals kompromittiert und er hat alles an Items verloren – nur wegen dieser einen Woche.
- Es muss einem nicht peinlich sein, wenn der Account kompromittiert wird, diese Firmen sind GUT in dem was sie tun. Zum Teufel, selbst dem ehemaligen Chef des Blizzard Customer Service wurde der Account ausgeraubt. Weil eben diese Firmen so high-tech und findig geworden sind, haben wir den physischen wie mobilen Authenticator entwickelt. Wir können nicht zu jedem Spieler hin und seinen Computer sicher machen, deshalb bieten wir Euch dieses Werkzeug an.
- Ich war übrigens einer der ersten, die sich so einen physischen Authenticator zugelegt haben, obwohl ich selbst nie Probleme hatte. Warum? Egal wie gut ich bin, irgendwann kriegen sie mich. Jetzt kriegen sie mich nicht mehr.
- … Da können auch ein paar Java Exploits im Spiel sein. Bevor ich den Job hier anfing, wußte ich nicht einmal die Hälfte dessen, was ich jetzt über Trojaner, Keylogger etc. weiß. Wir haben das in WoW über fünf Jahre lang verfolgt und während eine besonders hässliche Sicherheitslücke wie z.B. im bereits erwähnten Adobe Flash zu einem deutlichen Anstieg an Accountkompromittierungen führte, ist es niemals nur eine Methode allein. … Deshalb haben wir den Authenticator zur Verfügung gestellt. Wir haben nach einer Weile festgestellt, dass es nicht an schlecht gesicherten Computern oder schwachen Passwörtern liegt – obwohl auch das vorkommt – sondern es liegt an der schieren Menge an Methoden, mit der diese Firmen das Internet fluten. Gleich, wie sorgfältig Ihr vorgeht, irgendwann kann es auch Euch passieren.
Kaltonis sieht offenbar im Authenticator das einzige Mittel, wie man mit großer Sicherheit seinen Account vor Übergriffen schützen kann. Den gibt es glücklicherweise auch in einer kostenfreien mobilen Version für Smartphones etc. und kann – nach Herunterladen, auch offline verwendet werden. Selbstverständlich muss die Abfrage dann vor jedem Einloggen erfolgen, sprich, eingestellt sein.
Es wird auch klar, dass Blizzard den Usern – jedenfalls den meisten, keine Vorwürfe macht. Es ist wie es ist und man muss damit zurechtkommen. Die Methoden sind in der Tat vielfältig: Infizierte Webseiten, Phishing-Mails, das Ausnutzen von Sicherheitslücken in anderen Programmen, Trojaner in Dateien, social engineering usw.
Der bereits erwähnte Java-Exploit ist einer davon. Aktuell ist die Version 7 (mit Patches). Aber die Version 6 wird z.B. nicht automatisch deinstalliert und sie enthält Sicherheitslücken weil sie nicht mehr gepatcht wird. Wer sie noch drauf hat, bitte entfernen. Ein bisschen mehr Sicherheit gibt es, wenn man Java (nicht Javascript) im Browser deaktiviert. Dann sieht man zwar manchmal eine weiße Seite – und kann sich dann überlegen, ob man der Seite traut und die Ausführung von Java kurzfristig zuläßt.
Man darf als gewöhnlicher Internetnutzer auch nicht glauben, dass es sich bei diesen „Firmen“ um Klitschen in einer Wellblechbaracke in einem Hinterhof handelt. Es sind außerdem keineswegs stets die Verwender solcher Hacks, die dann die Accountdaten auch nutzen. Accountdaten und dergleichen werden unter der Hand gehandelt wie anderswo Adressdaten oder Werbedaten. Information ist das neue Gold oder wird zu Gold gemacht. Ganze Botnetzwerke werden vermietet um neue Rechner zu infizieren, über sie laufen viele der Phishing-Mails und die Absender der E-Mails wissen nichts davon… Big Business.
Nach der Aussage von Flux von incgamers.com wurden in der Vergangenheit auch ganze WoW-Fanseiten von solchen Firmen gekauft, die aber immer noch im offziellen Fansite-programm von Blizzard drin sind, weil es eben sehr schwer ist zu beweisen, dass diese Firmen die neuen Inhaber sind und damit nachweislich Unfug getrieben wird.
Deshalb nun unsere kurze aktualisierte Liste mit Sicherheitsmaßnahmen:
- Besorgt Euch den Authenticator, wenigstens in der kostenfreien mobilen Version und stellt in Eurem Battle.net Account ein, dass der STETS zu verwenden ist. Die SMS-Benachrichtigung ist NICHT das gleiche!
- Ändert Euer Passwort, falls noch nicht geschehen.
- Scannt Euer System auf Viren und Trojaner etc., am besten mit einer Live-CD von C’t desinfec’t oder vergleichbare (hier wird das Betriebssystem nicht gebootet, die Suche ist deshalb genauer und sicherer)
- Haltet Euer Betriebssystem und Anwendungsprogramme stets auf dem neuesten Stand. Deinstalliert veraltete Software wie Java 6, die ihr eh nicht mehr braucht.