Alte und neue Betrugsmaschen

Von Boris, Do, 24. Sep 2009 08:58

Es scheint eine neue Welle von überbesorgten Forums-Posts zum Thema “Xbox Live Hacking” zu geben, weil sich wieder vermehrt Leute an mich wenden, die wissen wollen, wie sie ihren Account gegen Hack-Versuche sichern können. Daher hier ein, nahezu FAQ-mäßiger, Abriß zum Thema Xbox Live Betrüger.

Zuerst eine wichtige Feststellung: Xbox Live ist nicht gehackt und das Datenprotokoll auch nicht geknackt. Es wurde auch nie ein Account im klassischen Sinne “gehackt” – man hat einfach nur Kunden die Passwörter abgeluchst über “Social Engineering”. Genauso gut kann man auch jedes andere Passwort verlieren, wenn man unvorsichtig ist.

Insbesondere laufen wohl seit kurzem Youtube-Videos, die angeblich zeigen, wie man mit einem PC-Programm und der IP-Adresse eines Benutzers dessen Xbox Live Account hacken kann. Das ist alles ein großer Fake, der nur dazu dienen soll, daß sich neugierige Naturen (die ihren Freunden einen Streich spielen wollen) dieses Programm auf den PC laden – welches nichts weiter als eine Virenschleuder ist, die den PC übernehmen und Passwörter klauen will. Es gibt kein Programm, welches das nur stark verschlüsselt übertragene Passwort knackt.

Es ist natürlich möglich, daß man das Passwort direkt am PC abgreift – am besten mit einer Webseite, die so tut, als sei sie eine echte Xbox-Seite, in Wirklichkeit aber nur die Live ID stehlen will. Der Klassiker sind Seiten, die freie Microsoft Points und/oder Gold-Mitgliedschaften versprechen, wenn man sich dort anmeldet. Meistens mit Internet-Adressen wie freepoints.tk oder so. Es gibt eine einfache Daumenregel, mit der man die Seiten tadellos identifizieren kann: Es gibt keine, gar keine, überhaupt keine echte Webseite auf der man “freie Microsoft Points” bekommt. Ende. Jede dieser Seiten ist ein Betrug.

Am besten loggt man sich mit seiner Live-ID nur auf live.com und keiner anderen Webseite ein, wenn man sich nicht absolut sicher ist, daß es sich nicht um eine Betrugsseite handelt.

Es gibt übrigens diverse Variationen dieser beiden Tricks, beispielsweise ein Youtube-Video, das “beweist”, wie man seine Punkte verdoppelt, in dem man den Punkte-Code auf der Xbox eingibt, zu einem bestimmten Zeitpunkt die Konsole ausschaltet und dann sofort seine Live ID auf einer bestimmten geheimen Support-Webseite eingibt – klar, diese “geheime Seite” ist nur ein Passwort-Klauer. (Ich finde es übrigens sehr ironisch, daß die meisten neuen erfolreichen Schemen zum Passwort-Klau darauf basieren, Leute zu aktivieren, die Microsoft oder andere Benutzer übers Ohr hauen wollen. Gauner gegen Gauner sozusagen).

Mit dem geklauten Passwort werden im übrigen als erstes Xbox Live Nachrichten an alle Freunde geschickt “Hey! Es funktioniert wirklich! Ich hab gerade 1000 Microsoft Points auf betrugswebseite.tk bekommen!”, damit sofort weitere Leute darauf reinfallen und sich dort einloggen – schließlich hat es angeblich bei einem Freund geklappt.

Ich kenn mich nicht gut mit Firefox und Co aus, gebe hier aber noch einen Linktip zu Internet Explorer 8: http://www.microsoft.com/germany/windows/internet-explorer/features/stay-safer-online.aspx. Auf dieser Seite wird erklärt, wie man mit IE8 solche Betrugswebseiten erkennt und vermeidet.

Die allerwichtigsten Passwort-Tips noch im Schnelldurchgang:

  • Das Live-Passwort sollte mindestens acht Zeichen lang sein, Buchstaben (klein und groß), Zahlen und Sonderzeichen enthalten und eine möglichst wirr aussehende Zeichenkette sein (kein Wort aus dem Duden oder ein Eigenname)
  • Das Live-Passwort sollte man auf keiner anderen Webseite verwenden – denn wenn dieser Seite das Passwort geklaut wird, ist auch die Live-ID in Gefahr.
  • Die Funktion zur Passwort-Wiederherstellung mittels einer Geheimfrage hilft in Notfällen aber: Wenn man hier eine Allerwelts-Antwort verwendet, ist das für Hacker erratbar. Zur Frage “Was ist deine Lieblingsfilmfigur” nimmt man als Antwort beispielsweise nicht “Harry Potter”, sondern “Marzipankartoffeln”, also eine Lieblingsspeise.

Zum Schluß nochmal die Beruhigung: Es gibt keine Möglichkeit, Gamertags und Live IDs einfach so zu klauen, solange niemand an Euer Passwort rankommt. Und das muß man genausogut beschützen wie die Geheimzahl zu Eurer EC-Karte.

24 Antworten für “Alte und neue Betrugsmaschen”

  1. TheTw1st3r sagt:

    http://img14.imageshack.us/img14/8848/liveloginfirefox.png >> So sieht es in Firefox aus wenn man über die “echte” Live Seite sich anmeldet. Andernfalls ist das Feld links nicht grün!

    ps: die neue möglichkeit sein Kommentar 30min lang zubearbeiten ist TOP!

  2. Hooch Lee sagt:

    Da empfehle ich doch gleich noch das PAX-Panel von Stephen Toulouse (Director of Policy and Enforcement for Xbox LIVE) ab etwa 23:39:

    http://www.majornelson.com/archive/2009/09/06/show-331-seattle-penny-arcade-expo-2009.aspx

  3. ChiefJudy sagt:

    Dann weiß ich jetzt auch, woher diese bescheuerten Messages hin und wieder kommen. Es scheinen doch mehr Leute drauf reinzufallen als man glauben möchte.
    Zum Glück bin ich nicht so blöd anzunehmen, Microsoft verschenke irgendwo Punkte. Und besagte Freunde sind auch nicht mehr in meiner Liste.
    Das mit dem Passwort ist aber so eine Sache. 1000 Passwörter für 1000 unterschiedliche Foren etcetc…da kann man schonmal wahnsinnig werden. Geht aber wohl leider nicht anders ;) .

  4. M@rlon sagt:

    @ Boris
    Woher kanntest du meine Lieblinsspeise ;-)

  5. xXDarkShotXx 93 sagt:

    Ich hab solche Nachrichten auch schon bekommen, scheint ja wirklich recht weit verbreitet zu sein.

    PS Kommt die Brütal Legend Demo jetzt heute noch nach DE oder nicht? Der Major sagt ja, irgend so ein “Marktplatztyp” hat getwittert das wir sie nicht bekommen.

  6. Jürgen sagt:

    Ich habe bis jetzt nur schon ein paar mal in der Microsoft-Lotterie gewonnen. Tja, Glück muss man halt haben.

  7. simplymanneh sagt:

    Ja, es gibt sogar immer mehr Leute, die darauf reinfallen. Glaubt´s mir, ich weiss es GANZ sicher. :(

  8. Mischi sagt:

    Guter Post!

    Solltest vlt noch erwähnen, dass man den ominösen “4000 MS Points” für 20-30€ bei eBay nicht trauen sollte :)

  9. fakusb sagt:

    Hm, ich glaube irgendwie nicht, das die User, die diese Seite besuchen, nicht wissen, wie man sich vor Passswortklau schützt…

  10. pilpop sagt:

    Was aber kann man mit einem geklauten Account anstellen? Was ist der Sinn dahinter? Irgendwie komm ich nicht drauf.

    • Grow sagt:

      Zum einen könnte man dann damit online spielen, wenn der Dieb Silber wäre.
      Oder derjenige kauft sich von Punkten Arcade Spiele…
      Oder der Inhaber hat eine Kreditkarte hinterlegt und der Dieb kauft sich viele neue Punkte.
      Oder der Dieb überträgt die Lizensen auf seine Konsole.

      Deswegen verstehe ich nicht, wieso viele ihr Passwort oder die geheime Frage so leicht zu erraten lassesn.

    • fakusb sagt:

      Hm, eventuell die Arcarde-Games runterladen, die MS-Points verbraten oder einfach Langweile.

    • Commander sagt:

      In erster Linie fällt mir da ein sich mit deinen Points Games zu kaufen. Die sind ja dann auch meiner Konsole geregget und ich kann die dann auch spielen, selbst wenn du deinen Account “zurückeroberst”. Ok, du kannst dann das DRM-Managment Tool nutzen und die Rechte wieder umschreiben, aber auch nur 1x/Jahr und die Punkte sind weg.

      Ansonsten fällt mir spontan auch nix ein was man mit einem fremden Account machen könnte… glaube aber mit einer MS Live-ID kann man schon das ein oder andere anstellen….?!

  11. Evil sagt:

    @pilpop
    Allerlei Unfug. Man hat immerhin das Passwort und kann damit dann auch beispielsweise auf Emails zugreifen etc.
    Und natürlich gibt es auch allerlei Kiddies die sowas einfach nur machen um Leute zu ärgern ;)

  12. pilpop sagt:

    Aber deswegen programmiert man doch nicht eine Fake Seite um dann hunderte Accounts zu cashen, so viel spielen kann man doch gar nicht, das ist die ganze Mühe und die Gefahr gecasht zu werden nicht Wert. Kann ich kaum glauben, dass das der Grund ist.

  13. pilpop sagt:

    Das ist doch mal ne Antwort. Danke. Und kommt man dadurch auch an die Kreditkarten Nummer ran die man eventuell hinterlassen hat?

    Also der beste Tipp ist wohl immer noch, sich nur über xbox.com einzuloggen. Ich hab mich ja schon bei eurem letzten Weihnachtskalender gefragt, ob das nicht eine Fakeseite ist. Ich will immer noch glauben, dass es eine war, weil ich und viele Anderen nichts gewonnen hatten. ;)

  14. Chris sagt:

    Bei Produkten wie “SmartScreen Filter” sollte man sich eines bewußt sein: Alle aufgerufenen URLs werden an den Anti-Malwaredienstleister übertragen.

  15. Bash sagt:

    Schemen = Maschen, Methoden (oder nicht?)

  16. habehandy sagt:

    Als Tipp für ein einfach zu merkendes Password kann man ein einen Satz nehmen wie z.B.”Ich bin der bester Gamer” und die jeweiligen Anfangsbuchstaben als Password nutzen also “IbdbG”. Um es komplizierter zu machen tauscht man einige Buchstaben in Sonderzeichen&Zahlen aus. z.B. x=%, E=3, S=5, O=0, B=8 u.s.w.

  17. Draugr sagt:

    Ich hab gehört das neue “Common Sense 2.0″ soll ziemlich zuverlässig gegen solche Sachen schützen. *g*

  18. badoli sagt:

    Wie heissts so schön: “You can’t fool an honest man.”

  19. Falcon030 sagt:

    Und trotzdem wird das Ganze wieder als Account-Hacking verkauft (so z.B. aktuell auf Stern.de), statt darauf hinzuweisen, dass es eben häufig auf die Unwissenheit/Dummheit/Gier der Nutzer zurückzuführen ist.
    Ärgerlich.

  20. fakusb sagt:

    Heute wurde auch behauptet: Wenn man alle 3 Monate das Passwort ändert, immer die neuste Systemversion hat und seinen Virenscanner immer up to date hat, ist man vor Phishing 100% sicher…

    Den gesunden Menschenverstand brauch man dann aber nicht, oder?

Panorama Theme by Themocracy