[English]Kurze Warnung für Leser und Leserinnen, die auf der Plattform Steam unterwegs sind. Ein Leser hat mich auf eine Betrugswelle aufmerksam gemacht, die gerade läuft und mit gefälschten Konten operiert. Über Anfragen von angeblichen Freunden wird die Teilnahme an einem Gewinnspiel offeriert. Wer auf so etwas hereinfällt, gelangt wohl auf eine Seite, auf der die Steam-Anmeldedaten abgefragt und dann von Cyberkriminellen gestohlen werden.
Anzeige
Blog-Leser Franz S. hat sich die Tage per E-Mail bei mir gemeldet, um mit diesen Fall bzw. die Betrugsmasche auf der Plattform Steam zu schildern (danke dafür). Franz schrieb unter dem Betreff Steam Fake Accounts und Scam-Methoden, dass dies vielleicht ein Thema für den Blog sei, weil es derzeit eine Welle an Betrugsversuchen (Scam) mit und über Steam gebe. Das Ganze funktioniert in mehreren Stufen, die mir vom Leser in nachfolgenden Schritten skizziert wurden.
- Der User [gemeint ist ein Nutzer der Plattform Steam] wurde von den Betrügern durch Marktaktivitäten oder offenes Inventar gefunden.
- Es gibt einen Fake-Account der Betrüger mit riesigen Spielstunden + Achievments (erreichten Zielen) in diversen Spielen (insbesondere csgo), siehe obigen Screenshot.
- Dieser Fake-Account schickt eine Freundesanfrage an einen Steam-Nutzer, siehe folgenden Screenshot. Es ist naheliegend, dass Spieler solche tollen "Freundesanfragen" gerne annehmen.
So vorbereitet, kann der Betrug zu gegebener Zeit versucht werden. Nach ein paar Tagen, Wochen oder Monaten gibt es eine direkte Nachricht von einem solchen Kontakt aus der "Freundesliste", ob man bei einen Gewinnspiel mitmachen möchte. Bei Franz hieß es in der Nachricht, dass ein "Kumpel bei einer Verlosung teilnehme, und der Teilnehmer, der die meisten Stimmen habe, bekommt den Preis". Dies ist quasi so etwas wie ein Kettenbrief für einen Dritten.
Franz schrieb mir, dass in der Nachricht kein Link zur betreffenden Seite (des Gewinnspiels) angegeben wurde. Die Hintermänner der Betrugsmasche sind sich sicher, dass die Spieler das angegebene Gewinnspiel selbst über eine Suche bei Google finden. Geht der Spieler dann zur betreffenden Gewinnspielseite, wird er auf dieser Seite zur Autorisierung nach seinem Steam-Zugang gefragt.
Dazu teilte mir Franz seine Erfahrung mit und schrieb "Ich hatte die Seite gefunden, aber den Vorgang aufgrund von Faulheit abgebrochen. Der Fake Account wusste ohne mein zutun davon und wurde dann wütend." Es ging also ausschließlich darum, die Steam-Zugangsdaten abzugreifen, um Missbrauch zu treiben, schätze ich mal.
Franz schreibt, dass er derzeit vermehrt solche Freundesanfragen bekomme, die aber immer von anderen Profilen ausgehen. Witziger weise haben die Fake-Accounts mehrere hunderte Stunden in Dota vermerkt, weisen aber nicht ein einziges Achievment (Errungenschaften oder erreichte Ziele) auf. Es seit sogar Kosmetik-Items für das Fake-Profil gekauft worden, hat Franz beobachtet.
2015
Das gibt es schon viele Jahre. In der Regel via Domain Spoofing mit allen Varianten von steamcommunity.
Tja "freundesliste" Da kommen eben nur Freunde trauf und fertig! Es ist nicht geil 1000 Freunde zu haben die man nicht mal kennt! Versucht da dann ein Freund dich derart über den Tisch zu ziehen, tja dann geht man kurz vorbei und erklärt im die Freundschaft gekündigt auf die "altmodische" Art ;-P
Freunde bedeutet hier noch was und zwar: einmal Hölle und zurück wenn es sein muss! Alles andere ist kein Freund.
… wenn Luzifer von der Hölle spricht ;-)
/signed
Moin,
die Stunden kann man nebenbei farmen z.B. auf einem VM-Server. Man gaugelt vor, die exe des Spiels gestartet zu haben. Gibt auch Tools, mit denen man die Errungenschaften freischaltet. Das hätten sie sich ja nochmal gönnen können 😂
Seitdem ich mein Inventar auf privat gestellt habe, sind es deutlich weniger anfragen geworden ^^
MfG,
Blackii
Es gibt eine Gruppe, die vielleicht seit 20 Jahren die Besucher von gehackten Webseiten auf umleitet auf eine Seite mit "Sie sind der millionste Besucher: Sie haben gewonnen, wählen Sie einen Preis aus"
Fast immer werden diese Seiten bei ASN5398 gehostet.
Ist es möglich bei dem genannte Steam-Scam die IP auszulesen?
Mein Account wurde geklaut. Was kann ich nun machen? Da sind 10000€ drauf!
Kontaktiere Steam – mehr lässt sich nicht raten.
Das Vorgehen kenne ich bereits seit Jahren. Ich denke die Accounts selbst sind echt. Sie sind nur auch geklaut worden. Durch solche geklauten Accounts bekommt man eher ein Vertrauensvorsprung, als ein komplett leerer. Ich habe auf meinem Profil ganz deutlich hingeschrieben, dass man mir nur eine Freunschaftsanfrage senden soll, wenn man vorher ein Kommentar auf mein Profil hinterlässt. Alles andere wird abgelehnt.
Das allein schützt aber auch nicht. Wenn deine echten Freunde hobs genommen werden kommen von dort auch dubiose Anfragen. Wenn man aber nicht weiß, wie ein Freund normalerweise schreibt, dann ist es auch kein echter Freund gewesen. Man sollte die Liste also auch sauber halten.