> > > > Neue Phishing-Attacke kann Steam-Guard aushebeln

Neue Phishing-Attacke kann Steam-Guard aushebeln

Veröffentlicht am: von

steamEinem Bericht des englischsprachigen Blogs Malwarebytes.org zufolge, ist es Hackern gelungen, mithilfe einer neuen Phishing-Methode alle Sicherheitsblockaden der Spieleplattform Steam zu umgehen und die Accounts unbedarfter Spieler zu übernehmen. Selbst der 2011 eingeführte Steam-Guard soll dabei ohne Probleme ausgehebelt werden.

Ist dieser aktiv, wird dem Nutzer, nachdem er sich auf einem neuen Rechner oder über den Browser auf der Plattform eingeloggt hat, automatisch eine E-Mail an die im Profil hinterlegte Adresse mit einem fünfstelligen Code geschickt, den er anschließend auf dem neuen Rechner-Account bzw. im Browser eingeben muss, um auf seinen Account zugreifen zu können und um unbefugten Zugriff Dritter zu verhindern.

Bei der neuen Phishing-Methode, die wohl der offiziellen Steam-Webseite nachempfunden ist, wird der Nutzer ebenfalls aufgefordert, sich mit seinem Nutzernamen und Passwort auf der Plattform anzumelden. Danach wird jedoch nicht der fünfstellige Code des Steam-Guards abgefragt, sondern eine spezielle SSFN-Datei aus dem lokalen Steam-Verzeichnis gefordert. Diese Datei enthält wichtige Account-Daten und dient mit ihrer Existenz nur dazu, dass der Steam-Guard keinen neuen Security-Check durchführen muss. Diese SSFN-Datei soll der Nutzer auf die Phishing-Webseite hochladen.

Mit den eben abgefangenen Daten und der SSFN-Datei können sich Kriminelle so Zugriff auf den Account verschaffen. Oft werden solche Attacken aber nicht dazu genutzt, um die Spielesammlung anderer Nutzer zu kapern oder die Accounts zu verkaufen, sondern um eventuell vorhandenes Steam-Guthaben zu plündern oder wertvolle Items und Sammelkarten auf andere Accounts zu transferieren.

Malwarebytes.org empfiehlt daher dringend, die SSFN-Datei niemals weiterzugeben. Wer bereits Opfer des Betrugs wurde, sollte schnellstmöglich sein Kennwort ändern und sich sicherheitshalber an Steam wenden. Valve soll bereits über die Sicherheitslücke in Kenntnis gesetzt worden sein. Gestopft wurde das Leck allerdings noch nicht.

malwarebytes steam guard phishing k
Wer seine SSH-Datei aus dem Steam-Verzeichnis weitergibt, könnte seinen Account verlieren.

Social Links

Kommentare (15)

#6
customavatars/avatar141825_1.gif
Registriert seit: 11.10.2010
Hessen
Kapitän zur See
Beiträge: 3193
Zitat
Wer darauf rein fällt hat es irgendwie verdient

Wer darauf reinfällt, sollte weder Steam noch das Internet nutzen.
#7
customavatars/avatar11936_1.gif
Registriert seit: 17.07.2004
Laupheim
Computersüchtig
Beiträge: 22953
Zitat KenshiHH;22110245
Wer darauf rein fällt hat es irgendwie verdient


sehe ich auch so

Gesendet von meinem Nexus 5 mit der Hardwareluxx App
#8
Registriert seit: 02.07.2013

Banned
Beiträge: 888
Also ganz ehrlich, wer so blöd ist, der lädt auf Aufforderung auch seine gesammte HDD freiwillig hoch - da hilft einfach nichts mehr....

Für solche Leute hilft nur ein Guard, und zwar der der die Leute daran hindert, ihren PC zu benutzen.

//edit: Aber wir könnten der Seite doch auch massig Fakedaten geben und Fakeuploads???
#9
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Oberbootsmann
Beiträge: 772
Zitat billab;22110296
ich finde man muesste auf dem screenshot nicht umbedingt die url zeigen..


Warum sollte man das nicht tun?


Weiß aber nicht, wieso das eine News wert ist. Pishing kann ALLES aushebeln, egal was es ist. Dazu gehört dann natürlich auch Steam-Guard und sowas.
#10
customavatars/avatar144179_1.gif
Registriert seit: 26.11.2010
Radolfzell / BaWü
Oberbootsmann
Beiträge: 782
Mehr muss man dazu nicht sagen :Fresse:
#11
customavatars/avatar39931_1.gif
Registriert seit: 09.05.2006
ERZ
Flottillenadmiral
Beiträge: 4301
ach wie sich wieder die profis zu wort melden, tz tz tz....
#12
customavatars/avatar163959_1.gif
Registriert seit: 27.10.2011

Oberbootsmann
Beiträge: 772
Profis? Bitte erläutern. :vrizz:
#13
Registriert seit: 26.06.2008

Moderator
Beiträge: 13185
Zitat Novastar;22111766
Dazu gehört dann natürlich auch Steam-Guard und sowas.
Steam-Guard ist sicher, solange der Nutzer die Grundprinzipien der Internetsicherheit beachtet. :fresse: Im Schadensfall liegt die Schuld eindeutig bei diesem.
#14
customavatars/avatar190810_1.gif
Registriert seit: 07.04.2013
Bayern
Oberbootsmann
Beiträge: 936
Das fällt doch auf, wenn man statt einem Code plötzlich eine Datei hochladen muss? Naja, ich nutze sowieso nie die Steam Website.
#15
customavatars/avatar39931_1.gif
Registriert seit: 09.05.2006
ERZ
Flottillenadmiral
Beiträge: 4301
Zitat Novastar;22115114
Profis? Bitte erleutern. :vrizz:


1. es heißt erläutern ;)
und 2. die meisten, die sagen, dass man dann bei sowas besser kein internet haben sollte oder sonstige kommentare, denen ist es mit sehr großer wahrscheinlichkeit schon selbst passiert. niemand ist über solche taten erhaben.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Ubisoft verschenkt zum 30. Geburtstag sieben Spiele (Update)

Logo von IMAGES/STORIES/LOGOS-2013/UBISOFT

Ubisoft wurde 1986 in Frankreich gegründet und feiert entsprechend in diesem Jahr das dreißigjährige Firmenjubiläum. Gefeiert wird unter anderem mit einer Geschenkaktion, bei der nach und nach sieben Spiele gratis erhältlich sind. Um in den Genuss der kostenlosen Spiele kommen zu können,... [mehr]

PlayStation Plus und Xbox Games with Gold: Das kommt im Oktober 2016

Logo von IMAGES/STORIES/LOGOS-2013/SONY_PLAYSTATION_LOGO

Sowohl Sony als auch Microsoft haben mittlerweile ihre Gratis-Games für den Monat Oktober 2016 genannt. Wer Sony PlayStation Plus abonniert hat und eine PS4 besitzt, darf ab dem 4. Oktober, also ab dem kommenden Dienstag, ohne Mehrkosten die beiden Titel „Transformers Devastation“ und... [mehr]

DLC: Rise of the Tomb Raider Baba Yaga & 20 Years Anniversary angespielt

Logo von IMAGES/STORIES/LOGOS-2015/RISEOFTHETOMBRAIDER

20 Jahre wird das Tomb Raider-Franchise nun alt und das nahmen Publisher Square Enix sowie Entwickler Crystal Dynamics zum Anlass, zum Jubiläum neben der Playstation 4 Version von „Rise of the Tomb Raider“ auch ein neues DLC zum 20. Geburtstag für den PC auf den Markt zu bringen. In diesen 20... [mehr]

Augmented Reality: Pokémon Go für Android und iOS verfügbar

Logo von IMAGES/STORIES/LOGOS-2016/POKEMON_GO

Ingress, welches im Herbst 2012 von Niantic Labs zunächst für Android und später auch für iOS veröffentlicht wurde, ist eines der bekanntesten Augmented-Reality-Spiele. Mithilfe von Standortdaten des GPS-Moduls im Smartphone werden markante Orte der realen Welt, wie beispielsweise Denkmäler,... [mehr]

Audi veröffentlicht R8 Star of Lucis passend zum Game "Final Fantasy...

Logo von IMAGES/STORIES/LOGOS-2016/FINAL_FANTASY_XV_LOGO

„Final Fantasy XV“ wird heiß in der Gaming-Community erwartet: Ursprünglich sollte der Titel unter dem Namen „Final Fantasy Versus XIII“ noch als PS3-Exklusivspiel erscheinen. Dann krempelte man bei Square Enix das gesamte Projekt gehörig um und daraus wurde das „Final Fantasy XV“,... [mehr]

Mass Effect Andromeda angespielt

Logo von IMAGES/STORIES/LOGOS-2017/MASS-EFFECT-ANDROMEDA

Auf einem Preview-Event hatten wir die Gelegenheit, ein paar Spielstunden mit Mass Effect Andromeda zu verbringen, bevor das Spiel dann ab dem 21. März auf dem PC zur Verfügung steht. Wer Mass Effect Andromeda auf einer Xbox One oder PlayStation 4 spielen möchte, muss noch zwei Tage länger... [mehr]