Aktuell haben es Angreifer wieder auf Steam-Nutzer abgesehen, vor allem auf solche, die gerne ein Top-Spiel gratis abstauben möchten. Über Einträge in Foren oder auf Twitter werden die Steam-Nutzer auf Websites gelockt, die wie die oben im Aufmacher abgebildete Website ausschauen. Mit einem Dreh am virtuellen Roulette, so das Versprechen, könne der Steam-Nutzer eines von vielen wertvollen Top-Spielen abstauben. Und jeden Tag habe er exakt eine Chance, etwas zu gewinnen. Und, oh Wunder, tatsächlich führt jeder Dreh zu einem Gewinn. Aber zu früh gefreut.
In Wirklichkeit werden die Steam-Nutzer nämlich betrogen, wie die Security-Experten von Bleepingcomputer melden. Wer am virtuellen Roulette dreht, erhält jedes Mal eine Gewinnmeldung und es wird ein Steam-Code eingeblendet, mit dem angeblich das gewonnene Spiel der eigenen Spielbibliothek hinzugefügt werden kann. Dazu soll man auf der Gewinnseite auf den "Log in via Steam"-Button klicken. Nach einem Klick auf diesen Button erscheint eine fast exakt 1:1 nachgemachte Login-Seite von Steam. Sobald der Nutzer seinen Steam-Namen und sein Passwort eingegeben hat, kennen diese Daten nun auch die Betrüger. Bei Nutzern, die ihr Steam-Konto mit einer 2-Faktor-Authentifizierung via Steam Guard geschützt haben, wird sogar auf der falschen Steam-Login-Seite nach Eingabe des Benutzernamens und Passworts auch ein Fenster mit Eingabefeld für den Steam-Guard-Code eingeblendet, welches dem Original nachempfunden ist.
Wer so weit auf den Trick der Betrüger hereingefallen ist, der hat verloren: Sobald die Angreifer an alle Steam-Daten gelangt sind, sorgt im Hintergrund ein Skript für den Rest: Es loggt sich automatisch in das Steam-Konto ein, ändert das Passwort und alle mit dem Steam-Konto verbundenen Mail-Adressen und sonstige Daten.
Der Steam-Nutzer hat damit sein Steam-Konto verloren - inklusive seiner gesamten Spiele-Bibliothek. Die Schadenssumme kann also äußerst hoch ausfallen. Damit die Masche auch noch neue Opfer anziehen kann, werden von dem gekaperten Steam-Konto aus Nachrichten an dessen gesamte Freundesliste gesendet, mit denen die Werbetrommel für die Abzocker-Website gerührt wird.
Was tun im Falle eines Steam-Konto-Diebstahls
Sobald die Angreifer anfangen, die im gestohlenen Steam-Konto hinterlegten Daten zu ändern, erfährt dies der Nutzer per Info-Mails von Steam. Der Steam-Nutzer sollte dann umgehend mit Steam in Kontakt treten, um die Wiederherstellung seines Kontos zu erzwingen. Weitere Infos hierzu finden Sie auf dieser Steam-Support-Seite.
Je schneller dies passiert, desto höher sind die Erfolgsaussichten. Zwischenzeitlich versuchen die Angreifer dann die im Steam-Konto hinterlegten Gegenstände zu veräußern. Je seltener diese sind, desto mehr Geld lässt sich mit ihnen machen. Diese virtuellen Gegenstände sind für immer verloren und der rechtmäßige Steam-Nutzer erhält sie von Steam nicht zurück.
Um sich vor dieser Art vor Attacke zu schützen, bei der sogar der 2FA-Schutz umgangen wird, hilft eigentlich nur der Rat: Achten Sie genau darauf, welche Websites sich in einem Browser öffnen und ob die URL tatsächlich mit der angezeigten Website übereinstimmt. Grundsätzlich sollten die Zugänge zu Online-Diensten mit einer Zwei-Faktor-Authentifizierung geschützt werden, sonst machen Sie es den Angreifern noch einfacher.
Quelle: Steam-Nutzer verlieren alle Spiele durch fiesen Trick - PC-WELT