Diablo 3 Accountplünderungen - Update und Gegenmassnahmen

[ScrYpD]

Kann von PW unverschlüsselt aber nichts finden, mit dem Rest hast du recht.
Dachte du hast das irgendwo her, wusste nicht das du es selbst gefiltert hast.

hab einfach mal meinen Netzwerkverkehr gesnifft.....
nix großartig an was Traffic braucht

D3 gestartet
eingeloggt
Authenticator benutzt ... (den richtigen nicht mobile)
char ausgewählt
spiel gestartet
kurz gespielt
char gewechselt
ausgeloggt

wenn ich in den gespeicherten paketen nach meinen Account suche (string in paket bytes) bingo treffer........desweiteren die Chars genauso....


nur mal schnell 5min "arbeit" zum testen für mehr hab ich jetzt auffn abend kein bock

 

[VanB2005]

... ich wurde zwar nicht gehackt, hatte aber eine phising Email erhalten - Einladung zum Betatest Mists of Pandaria - obwohl ich wow nur mal getestet aber nicht ernsthaft gespielt hatte. Unbedarft wie ich bin, hatte ich den Link angeklickt, auf der Seite aber nix gemacht - muß ich jetzt mit malware auf dem Rechner rechnen (nutze Kaspersky) ?

 

[Sykar]

... ich wurde zwar nicht gehackt, hatte aber eine phising Email erhalten - Einladung zum Betatest Mists of Pandaria - obwohl ich wow nur mal getestet aber nicht ernsthaft gespielt hatte. Unbedarft wie ich bin, hatte ich den Link angeklickt, auf der Seite aber nix gemacht - muß ich jetzt mit malware auf dem Rechner rechnen (nutze Kaspersky) ?

Afaik musst du bei Phishing Seiten aktiv werden, damit sie über die Methode an deine Daten kommen.

 

[VanB2005]

Ich denke das auch danke für die Antwort!
Wüßte nur zu gern, ob nicht doch der eine oder andere auf so eine phising-mail reingefallen war. Die Email war ziemlich gut gemacht

 

[Lindaman]

Antwort vom Ticket am 23.05.2012 16:36....!!!!!Ich habe ihn nicht zurücksetzen lassen, da ich gestern die Entscheidung getroffen habe, ihn doch weiterzuspielen... bin jetzt schon 60, hat mich wegen der Warterei um 2 Tage zurückgehauen...


Hallo, ich bin Gamemaster Grosparigan.

Entschuldige bitte die alptraumhafte Wartezeit, bei uns ist im Moment buchstäblich der Teufel los, auch wenn wir uns höllisch anstrengen die infernalischen Antwortzeiten wieder zu verkürzen.

Wir haben festgestellt, dass der Battle.net-Account xyz kompromittiert wurde.

Accountkompromittierungen können aus den unterschiedlichsten Ursachen resultieren. Um dem entgegenzuwirken, empfehlen wir Ihnen ein ausführliches Studium der unter Sicherheits-Checkliste - Accountsicherheit - Battle.net erreichbaren Sicherheitscheckliste, damit Sie sich und Ihren Account besser vor zukünftigen Schäden schützen können.

Wie von Ihnen gewünscht haben wir auf eine Wiederherstellung des Accounts auf einen früheren Stand verzichtet und er bleibt in seinem jetzigen Zustand.

Wir entschuldigen uns für die lange Wartezeit und die damit verbundenen Unannehmlichkeiten.

Dieses Ticket und alle anderen finden sich nun auch auf unserer Blizzard Kundensupport-Webseite im Battle.net.
Nähere Informationen stehen im Forum unter Blizzards Kundensupport-Webseite - Foren - World of Warcraft
oder lassen sich direkt im Battle.net unter Support -> Support-Tickets finden.

Mit freundlichen Grüßen

Dein Gamemaster Grosparigan
Blizzard Entertainment Europe

 

[petit]

Ich würde dir raten deine Email zu entfernen....^^

 

[oTToToTenTanz]

Hm, die ganze Zeit habe ich mich gefragt, warum die Hacker, mit welchen Methoden sie sich auch immer Zugriff verschaffen, JETZT angreifen und nicht erst, wenn das RMAH da ist. Aber ich glaube, ich habe mir diese Frage selbst beantwortet:
Viele lassen sich ihren Char zurücksetzen. Ich habe gelesen, dass ein Dupen der Items durch ein Zurücksetzen NICHT möglich ist, sprich die Items, die irgendwo anders sind verschwinden (oder habe ich das falsch verstanden?)
Auch gibt es die Möglichkeit des Zurücksetzens ja nicht unendlich, sprich beim 2. Mal wird der Zugriff aus RMAH gesperrt.
Vllt. schlagen die Hacker jetzt zu damit die User schonmal die erste Zurücksetzung einlösen um, wenn das RMAH gestartet wird, nochmal zu zuschlagen und die User nicht mehr Zurücksetzen können und wollen. Somit bleiben auch dann High lvl Items erhalten, die ergattert werden.
Macht das Sinn?

Eine andere Frage:
Viele berichten, dass sie aus dem Spiel fliegen, wenn sie online sind und dann ausgeraubt werden.
WARUM fliegt man aus dem Game, wenn andere Leute (angenommen mit erfolgreichem PW phishing...) versuchen auf den selben Acc zuzugreifen? Sollte für die Hacker da nicht ne Fehlermeldung kommen? (Dieser ACC wird benutzt etc?!?)

Könnten das hier zwei RL Freunde, die das Game haben, nicht mal versuchen? Ihr habt ein Battlenetaccount und einer logt sich damit ein, der andere versucht dann sich auch auf den Acc einzuloggen und guckt dann, welche Meldung er bekommt.

Sollte das nämlich nicht funktionieren würde das doch die PW Phishing Methode ausschließen, oder habe ich wieder etwas nicht bedacht?

 

[ShaTom]

Eine andere Frage:
Viele berichten, dass sie aus dem Spiel fliegen, wenn sie online sind und dann ausgeraubt werden.
WARUM fliegt man aus dem Game, wenn andere Leute (angenommen mit erfolgreichem PW phishing...) versuchen auf den selben Acc zuzugreifen? Sollte für die Hacker da nicht ne Fehlermeldung kommen? (Dieser ACC wird benutzt etc?!?)

Diese Frage stelle ich mir auch schon die ganze Zeit.

Davon ab, ich nutze jetzt das AH seit 2 Tagen wieder in vollen Zügen und wurde bislang noch nicht gehackt.
Ich hoffe das bleibt so!

 

[ozzybwild]

Hm, die ganze Zeit habe ich mich gefragt, warum die Hacker, mit welchen Methoden sie sich auch immer Zugriff verschaffen, JETZT angreifen und nicht erst, wenn das RMAH da ist. Aber ich glaube, ich habe mir diese Frage selbst beantwortet:
Viele lassen sich ihren Char zurücksetzen. Ich habe gelesen, dass ein Dupen der Items durch ein Zurücksetzen NICHT möglich ist, sprich die Items, die irgendwo anders sind verschwinden (oder habe ich das falsch verstanden?)
Auch gibt es die Möglichkeit des Zurücksetzens ja nicht unendlich, sprich beim 2. Mal wird der Zugriff aus RMAH gesperrt.
Vllt. schlagen die Hacker jetzt zu damit die User schonmal die erste Zurücksetzung einlösen um, wenn das RMAH gestartet wird, nochmal zu zuschlagen und die User nicht mehr Zurücksetzen können und wollen. Somit bleiben auch dann High lvl Items erhalten, die ergattert werden.
Macht das Sinn?

Imo nein.
"Zurücksetzen mit Sperrung des AH beim zweiten Mal" hört sich eher an nach "wir haben keine Möglichkeit die Items via ID oder ähnlichem direkt zu verfolgen bzw. wissen nicht wer in der Kette von Hack-Verkauf-Wiederverkauf-etc.. der eigentliche Täter ist, also -stellen wir den Account wieder her-".

Ich vermute, es wird einfach eine regelmäßig automatisch erstellte Sicherheitskopie der DB mit den Accdaten über den "leergeräumten" Account gespielt, wobei die geklauten Items letztenendes im Spiel (nur bei anderen Besitzern..) bleiben.

Oder auf deutsch: Blizzard duped und damit die eh schon kaputte Spielwirtschaft nicht komplett zerfetzt wird gibt es eine "rmah-sperre" ab dem zweiten Try.

So, und nun mal eine imo garnicht so dumme Theorie:
1. Goldfarmer loggt via anderer IP auf SEINEN Acc ein, spielt "Hacker", schiebt Items auf Lagerchar, meldet "Hack" an.

2. Das gleiche nochmal.

3. Die zu verkaufenden Items sowie die Goldmenge haben sich verdreifacht und für den Farmer gibt es einen neuen Char zum zwischenlagern.

Auch wenn mich manch einer für bekloppt halten mag: das kann eine große "Vorbereitung" im Sinne von "Items dupen" sein die vor RMAH-Release stattfindet, und das auchnoch mit Hilfe von Blizzards "Reset-Mechanik".


- Ich will allerdings KEINESfalls unterstellen, dass alle Hackmeldungen Fakes sind - ich will lediglich auf die Möglichkeit des Abusing dieses Resetsystems hinweisen..

So gute Nacht liebe Nachtschwärmer, ich kriege beim schreiben schon Pipi-in-die-Augen vor Müdigkeit.

 

[Helmut]

Hm, die ganze Zeit habe ich mich gefragt, warum die Hacker, mit welchen Methoden sie sich auch immer Zugriff verschaffen, JETZT angreifen und nicht erst, wenn das RMAH da ist. Aber ich glaube, ich habe mir diese Frage selbst beantwortet:
Viele lassen sich ihren Char zurücksetzen. Ich habe gelesen, dass ein Dupen der Items durch ein Zurücksetzen NICHT möglich ist, sprich die Items, die irgendwo anders sind verschwinden (oder habe ich das falsch verstanden?)
Auch gibt es die Möglichkeit des Zurücksetzens ja nicht unendlich, sprich beim 2. Mal wird der Zugriff aus RMAH gesperrt.
Vllt. schlagen die Hacker jetzt zu damit die User schonmal die erste Zurücksetzung einlösen um, wenn das RMAH gestartet wird, nochmal zu zuschlagen und die User nicht mehr Zurücksetzen können und wollen. Somit bleiben auch dann High lvl Items erhalten, die ergattert werden.
Macht das Sinn?

Eine andere Frage:
Viele berichten, dass sie aus dem Spiel fliegen, wenn sie online sind und dann ausgeraubt werden.
WARUM fliegt man aus dem Game, wenn andere Leute (angenommen mit erfolgreichem PW phishing...) versuchen auf den selben Acc zuzugreifen? Sollte für die Hacker da nicht ne Fehlermeldung kommen? (Dieser ACC wird benutzt etc?!?)

Könnten das hier zwei RL Freunde, die das Game haben, nicht mal versuchen? Ihr habt ein Battlenetaccount und einer logt sich damit ein, der andere versucht dann sich auch auf den Acc einzuloggen und guckt dann, welche Meldung er bekommt.

Sollte das nämlich nicht funktionieren würde das doch die PW Phishing Methode ausschließen, oder habe ich wieder etwas nicht bedacht?

Alle Beobachtungen und Videos zeigen, dass die Hacker die Items direkt beim Shop für Münzen verkaufen... die sind nicht an den Items interessiert... und zweimal den gleichen account bringt somit sogar doppeltes Geld..

 

[oTToToTenTanz]

Imo nein.
"Zurücksetzen mit Sperrung des AH beim zweiten Mal" hört sich eher an nach "wir haben keine Möglichkeit die Items via ID oder ähnlichem direkt zu verfolgen bzw. wissen nicht wer in der Kette von Hack-Verkauf-Wiederverkauf-etc.. der eigentliche Täter ist, also -stellen wir den Account wieder her-".

Du hast Recht, es hört sich wirklich danach an a la wir können die Items nicht verfolgen. Aber ich meine hier im Forum schon gelesen zu haben, dass das Dupen eben NICHT möglich ist. (War jemand betroffen, hat sich zurücksetzen lassen und die anderen Items, bei nem Freund oder so, sind auch verschwunden.)

Alle Beobachtungen und Videos zeigen, dass die Hacker die Items direkt beim Shop für Münzen verkaufen... die sind nicht an den Items interessiert... und zweimal den gleichen account bringt somit sogar doppeltes Geld..

Ihr müsst das im Zusammenhang sehen (eben, weil die Items verschwinden werde sie direkt verkauft - macht eigentlich nicht viel Sinn, bzw. gibt nicht viel Gold, aber das Gold, was bleibt, bleibt auch nach ner Zurücksetzung des gehackten Spieler erhalten.

Aber bitte geht auch auf meine andere These ein, die ich gerne nochmal zitiere, damit sie nicht in Vergessenheit gerät.

Eine andere Frage:
Viele berichten, dass sie aus dem Spiel fliegen, wenn sie online sind und dann ausgeraubt werden.
WARUM fliegt man aus dem Game, wenn andere Leute (angenommen mit erfolgreichem PW phishing...) versuchen auf den selben Acc zuzugreifen? Sollte für die Hacker da nicht ne Fehlermeldung kommen? (Dieser ACC wird benutzt etc?!?)

 

[Helmut]

Otto, schau dir mal das Video hier an:
Diablo 3 - HACKERS JOINED THE GAME [WATCH IT , it is important] | Exclusive Video - 1080p HD - YouTube

.. auch wenn es nur eine Beobactung ist und alles gefälscht ist, es erklärt alles genau das Muster was gerade zu sehen ist. Die Hacker werden sich bei sovielen accounts nicht die mühe machen einzelne items zu stehlen. Lieber geld einnehmen und dann später die Highlevelitems im AH kaufen (btw. habt ihr die berichte gehört das vor 2 stunden alle legendaries aus dem AH auf einen schlag aufgekauft wurden... 100te eines types???)

 

[violett]

Otto, schau dir mal das Video hier an:
Diablo 3 - HACKERS JOINED THE GAME [WATCH IT , it is important] | Exclusive Video - 1080p HD - YouTube

mein char wurde letzte nacht leer geräumt und jetzt hab ich jmd in meiner friendlist den ich nie zuvor gesehen hab.
bin seinem spiel gejoint und das passiert momentan genau das gleiche wie in dem video, lauter 60iger werden ausgeräumt, ein char hatte 5 lvl 60 legendary items angehabt.

 

[cerb]

Der Vollständigkeithalber gibt es mal wieder einen Bluepost. Keine Ahnung ob der schon woanders gepostet wurde:

Hack Refund - Forums - Diablo III

 

[Sykar]

Der Vollständigkeithalber gibt es mal wieder einen Bluepost. Keine Ahnung ob der schon woanders gepostet wurde:

Hack Refund - Forums - Diablo III

Das fand ich interessant:

Again, compromising game accounts is a big business in some countries. They have people on their payroll who spread false rumors of "hacked through my authenticator" just to try to discourage people from using them. We charge $6.50 for the physical authenticator, because that's exactly what it costs us to make them. The mobile one is free because we don't have to pay a factory to build them. Use them, and enjoy your gaming without someone mucking with your stuff.

Wenn man ihm also glauben kann, dann verdient Blizzard wirklich nicht nennswert am Authenticator, ausser, dass ihr Support entlastet wird.

 

[cerb]

Richtig. Wobei, ich glaube zwar nicht das sie wirklich (viel) Gewinn dran machen, aber $6.50 übersteigen wohl die Produktionskosten. Wirklich viel Material steckt ja nicht darin, als das es über Cent-Beträge hinausgehen würde. In dem Preis sind bestimmt auch die Kosten für die Logistik (Lagerung/Versand etc.) inbegriffen.

Im Endeffekt macht Blizzard wohl nicht wirklich Gewinn dran, aber die $6.50 sollten schon über dem eigentlichen Produktionspreis liegen.

 

[Sorcphilosoph]

Kann man glauben, der Realitätscheck im Onlinestore von Blizzard offenbart jedoch: 9,99€, was umgerechnet keine $6,50 sind.

Ich finde interessanter, dass in dem Post nunmehr zugegeben wird, dass auch Leute mit Authenticator betroffen sind, was bisher geleugnet wurde.

 

[BlueWulv]

Afaik musst du bei Phishing Seiten aktiv werden, damit sie über die Methode an deine Daten kommen.

Das ist der gängigste, da einfachste Weg.
Es kann aber schon reichen, dass du die webseite überhaupt aufgerufen hast.
Ein entsprechender exploit im Browser/einem plugin vorausgesetzt infizierst du deinen PC bereits damit (Drive-by-Infection / Drive-by-Download).

Hier in den Foren bzw. ingame nebenbei auch schon passiert durch einen kompromitierten Werbebanner.


EDIT:
Zu den gehackten Accounts mit Authenticator (eine Hand voll, die er untersucht hat):
Leider geht nicht klar hervor, ob es D3 Accounts waren oder ob er von WoW Accounts spricht. Aus dem Zusammenhang würde ich sogar eher auf WoW Accounts tippen.
Allerdings ist auch klar und wurde immer gesagt: ein Authenticator ist auch keine 100% Sicherheit, so etwas gibt es nicht, schminkt euch den Gedanken "Mein PC/Account ist sicher" gleich ab.
Der Authenticator erschwert die Übernahme eines Accounts nur wesentlich! Ist der Rechner verseucht und die Malware entsprechend geschrieben, hilft das allerdings nicht, weil die Malware wartet bis du dich einloggst und die Daten dort abgreift, deinen Login ins Leere laufen lässt und parallel dazu sich in deinen Account einloggt und Änderungen nach beliebem vornimmt.

Und die PCs, die er untersucht hat, waren hochgradig verseucht...

 

[Sykar]

Da wäre Blizzard ja auch schön blöd, den Athenticator als Verlustgeschäft zu betreiben.

Das ist der gängigste, da einfachste Weg.
Es kann aber schon reichen, dass du die webseite überhaupt aufgerufen hast.
Ein entsprechender exploit im Browser/einem plugin vorausgesetzt infizierst du deinen PC bereits damit (Drive-by-Infection / Drive-by-Download).

Hier in den Foren bzw. ingame nebenbei auch schon passiert durch einen kompromitierten Werbebanner.

Gut zu wissen, danke.

 

[InfinityDX]

Ich finde interessanter, dass in dem Post nunmehr zugegeben wird, dass auch Leute mit Authenticator betroffen sind, was bisher geleugnet wurde.

und machen trotzdem nichts dagegen. es wir mittlerweile seit über eine woche gehackt!

was hat die downtime von heute nacht gebracht? gibts infos?