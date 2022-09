Es sind neue Phishing-Versuche auf Steam im Umlauf. (Bildquellen: Valve, Getty Images/Nature)

Immer wieder versuchen Kriminelle auf Steam an sensible Daten oder euer Inventar zu kommen. Die Methoden dafür werden immer raffinierter. Jetzt ist eine neue Betrugsmasche im Umlauf, die besonders kompetitive Spieler im Visier hat. Wie ihr die Masche erkennen könnt und euch davor schützt, zeigen wir euch jetzt.

Neue Phishing-Methode auf Steam

Auf der Plattform Steam tummeln sich neben den vielen tollen Spielen leider auch immer wieder Betrüger, die mit verschiedenen Methoden versuchen an eure Accounts zu kommen.

Die neueste Masche bedient sich am sogenannten Phishing und stellt euch die Teilnahme an einem Turnier für beliebte kompetitive Games wie Counter-Strike: Global Offensive, League of Legends oder PUBG in Aussicht (Quelle: Group-IB).

Damit sind vor allen Dingen kompetitive oder professionelle Spieler im Visier. Warum ist das so?

Die Kriminellen erhoffen sich somit eine fettere Beute, Spieler von CS:GO zum Beispiel haben oft wertvolle Skins in ihrem Inventar, die für viel Geld weiterverkauft werden können.

Wie läuft die Betrugsmasche ab?

Ihr werdet per Privatnachricht zu einem Turnier eingeladen. Klickt ihr auf den entsprechenden Link, gelangt ihr zu einer Webseite, die E-Sports-Events veranstaltet.

Wenn ihr dann einem gewünschten Team beitreten wollt, werdet ihr aufgefordert euch mit eurem Steam-Account anzumelden. Sogar eine aktivierte Zwei-Faktor-Authentifizierung wird dabei ganz normal abgefragt. Sobald ihr euch komplett angemeldet habt, haben die Hacker freie Fahrt auf eure Zahlungsmittel, virtuellen Gegenstände und eure Freundesliste für weitere potentielle Opfer.

Wieso ist das Phishing so schwer zu erkennen?

Die Betrüger bedienen sich an einer besonders echt wirkenden Methode. Sobald ihr zum Anmelden aufgefordert werdet, öffnet sich nicht wie üblich ein völlig neues Fenster, sondern ein Pop-Up-Fenster im selben Tab. Dies ähnelt der legitimen Vorgehensweise, wenn ihr euch auf Drittseiten anmelden wollt.

Die Phishing-Seite im Fenster imitiert viele Merkmale einer echten Anmeldung via Steam-Account. (Bildquelle: Group-IB)

Die gezeigte URL gibt auch keine Hinweise auf einen Phishing-Versuch, da sie der Ursprungseite entspricht. Genauso ist das eigentlich verlässliche Symbol der SSL-Verschlüsselung zu sehen.

Auch weitere Eigenschaften eines echten Browser-Fensters werden übernommen und täuschen somit sehr gut: Ihr könnt es herumziehen, vergrößern, verkleinern und sogar schließen.

Wie könnt ihr euch vor dem Scam schützen?

Trotz der wirklich raffinierten Methode gibt es einige Hinweise, die einen Fake entlarven:

Das SSL-Symbol ist nicht anklickbar und nur ein Bild

In eurer Taskleiste gibt es kein neues Fenster

Der Maximieren-Button funktioniert nicht

Ihr könnt die URL im Fenster nicht verändern bzw. sie führt dann nirgendwo hin

Es gibt noch einen Weg euch vorsorglich von solchen Phishing-Fenstern zu schützen, dafür müsst ihr allerdings JavaScript in euren Browser-Einstellungen deaktivieren. Da viele andere Webseiten diese nutzen, ist das allerdings ein sehr radikaler Weg.

Nicht ganz so gefährlich für euch, dafür auch dreiste Kopien auf Steam: