Es scheint eine neue Welle von überbesorgten Forums-Posts zum Thema “Xbox Live Hacking” zu geben, weil sich wieder vermehrt Leute an mich wenden, die wissen wollen, wie sie ihren Account gegen Hack-Versuche sichern können. Daher hier ein, nahezu FAQ-mäßiger, Abriß zum Thema Xbox Live Betrüger.
Zuerst eine wichtige Feststellung: Xbox Live ist nicht gehackt und das Datenprotokoll auch nicht geknackt. Es wurde auch nie ein Account im klassischen Sinne “gehackt” – man hat einfach nur Kunden die Passwörter abgeluchst über “Social Engineering”. Genauso gut kann man auch jedes andere Passwort verlieren, wenn man unvorsichtig ist.
Insbesondere laufen wohl seit kurzem Youtube-Videos, die angeblich zeigen, wie man mit einem PC-Programm und der IP-Adresse eines Benutzers dessen Xbox Live Account hacken kann. Das ist alles ein großer Fake, der nur dazu dienen soll, daß sich neugierige Naturen (die ihren Freunden einen Streich spielen wollen) dieses Programm auf den PC laden – welches nichts weiter als eine Virenschleuder ist, die den PC übernehmen und Passwörter klauen will. Es gibt kein Programm, welches das nur stark verschlüsselt übertragene Passwort knackt.
Es ist natürlich möglich, daß man das Passwort direkt am PC abgreift – am besten mit einer Webseite, die so tut, als sei sie eine echte Xbox-Seite, in Wirklichkeit aber nur die Live ID stehlen will. Der Klassiker sind Seiten, die freie Microsoft Points und/oder Gold-Mitgliedschaften versprechen, wenn man sich dort anmeldet. Meistens mit Internet-Adressen wie freepoints.tk oder so. Es gibt eine einfache Daumenregel, mit der man die Seiten tadellos identifizieren kann: Es gibt keine, gar keine, überhaupt keine echte Webseite auf der man “freie Microsoft Points” bekommt. Ende. Jede dieser Seiten ist ein Betrug.
Am besten loggt man sich mit seiner Live-ID nur auf live.com und keiner anderen Webseite ein, wenn man sich nicht absolut sicher ist, daß es sich nicht um eine Betrugsseite handelt.
Es gibt übrigens diverse Variationen dieser beiden Tricks, beispielsweise ein Youtube-Video, das “beweist”, wie man seine Punkte verdoppelt, in dem man den Punkte-Code auf der Xbox eingibt, zu einem bestimmten Zeitpunkt die Konsole ausschaltet und dann sofort seine Live ID auf einer bestimmten geheimen Support-Webseite eingibt – klar, diese “geheime Seite” ist nur ein Passwort-Klauer. (Ich finde es übrigens sehr ironisch, daß die meisten neuen erfolreichen Schemen zum Passwort-Klau darauf basieren, Leute zu aktivieren, die Microsoft oder andere Benutzer übers Ohr hauen wollen. Gauner gegen Gauner sozusagen).
Mit dem geklauten Passwort werden im übrigen als erstes Xbox Live Nachrichten an alle Freunde geschickt “Hey! Es funktioniert wirklich! Ich hab gerade 1000 Microsoft Points auf betrugswebseite.tk bekommen!”, damit sofort weitere Leute darauf reinfallen und sich dort einloggen – schließlich hat es angeblich bei einem Freund geklappt.
Ich kenn mich nicht gut mit Firefox und Co aus, gebe hier aber noch einen Linktip zu Internet Explorer 8: http://www.microsoft.com/germany/windows/internet-explorer/features/stay-safer-online.aspx. Auf dieser Seite wird erklärt, wie man mit IE8 solche Betrugswebseiten erkennt und vermeidet.
Die allerwichtigsten Passwort-Tips noch im Schnelldurchgang:
- Das Live-Passwort sollte mindestens acht Zeichen lang sein, Buchstaben (klein und groß), Zahlen und Sonderzeichen enthalten und eine möglichst wirr aussehende Zeichenkette sein (kein Wort aus dem Duden oder ein Eigenname)
- Das Live-Passwort sollte man auf keiner anderen Webseite verwenden – denn wenn dieser Seite das Passwort geklaut wird, ist auch die Live-ID in Gefahr.
- Die Funktion zur Passwort-Wiederherstellung mittels einer Geheimfrage hilft in Notfällen aber: Wenn man hier eine Allerwelts-Antwort verwendet, ist das für Hacker erratbar. Zur Frage “Was ist deine Lieblingsfilmfigur” nimmt man als Antwort beispielsweise nicht “Harry Potter”, sondern “Marzipankartoffeln”, also eine Lieblingsspeise.
Zum Schluß nochmal die Beruhigung: Es gibt keine Möglichkeit, Gamertags und Live IDs einfach so zu klauen, solange niemand an Euer Passwort rankommt. Und das muß man genausogut beschützen wie die Geheimzahl zu Eurer EC-Karte.