Hoe cybercriminelen WoW-spelers duperen

Hoe aanvallers op jacht zijn naar Battle.net-accounts in World of Warcraft om zo waardevolle content in handen te krijgen.

Een Battle.net-account is waardevol voor aanvallers. Ze kunnen zo’n account gebruiken om toegang te verkrijgen tot aangeschafte spellen, evenals personages en in-game valuta en items. Als een speler zijn of haar account echter goed heeft ingesteld, dan kunnen ze door contact op te nemen met de technische ondersteuning weer de controle krijgen over hun account en de gestolen virtuele weelde terugkrijgen.

Toch zorgen deze aanvallers voor een hoop problemen, dus het is beter om nu actie te ondernemen dan om later gehackt te worden. Om ervoor te zorgen dat u deze onaangename situatie kunt voorkomen, ga ik u laten zien wat ik heb geleerd van een poging om mijn Battle.net-account te kapen met gebruik van in-game phishing in World of Warcraft Classic.

De truc van “Bizzard” voor accountdiefstal

Phishing was altijd al een redelijk veelvoorkomend probleem in de originele versie van WoW. Ik had er echter nog nooit eerder last van gehad in de onlangs uitgekomen World of Warcraft Classic — tot een strijder met de naam “Bizzard” me een bericht stuurde: “[Blizzard Entertainment] GM: Violation: Economic exploit. Please visit: [www.blizzardwarcraft.com]. Otherwise, we will suspend your account.”

 In-game phishing-bericht in World of Warcraft Classic

Stellen dat dit bericht niet helemaal pluis leek zou nogal een understatement zijn. Om te beginnen is het moeilijk te geloven dat een echte game master bij Blizzard Entertainment op overtredingen als “economic exploits” zou reageren met een personagenaam die vergelijkbaar maar niet identiek is aan de naam van het bedrijf en dat diegene op zo’n manier een speler informeert dat ze een bepaalde website moeten bezoeken. En bovendien: ik had helemaal geen regels overtreden.

Ik negeer zulke berichten normaal gesproken, maar dit keer was ik nieuwsgierig en besloot ik te onderzoeken hoe deze truc nou precies werkte. Ten eerste controleerde ik de link met gebruik van whois-diensten omdat ik zag dat het domein niet een van de domeinen was die aan Blizzard toebehoorden (zoals blizzard.com, battle.net of worldofwarcraft.com). Wat ook voor twijfels zorgde over de legitimiteit van de websites was het gebrek aan welk soort beveiligingscertificaat dan ook.

Zoals ik al vermoedde, was het domein blizzardwarcraft.com waar de machtige Bizzard wilde dat ik naartoe ging minder dan een week geleden geregistreerd. Bovendien deden de aanvallers niet bepaald hun best om hun sporen uit te wissen: het domein was geregistreerd door iemand uit de Chinese provincie Anhui via het in Hong Kong geregistreerde Hong Kong Domain Name Information Management Co., Ltd.

Vergelijking van de nep-Blizzard-website met het echte werk

De phishing-website ziet er desondanks overtuigend uit. Hij ziet er bijna hetzelfde uit als de legitieme inlogpagina eu.battle.net. Het Security Check-label, dat is opgemaakt in het verkeerde lettertype en kleur, verpest de algemene indruk wel een beetje. En de Facebook- en Google-inlogopties werken niet, zoals u al had kunnen raden. Maar bijna alle andere links op deze frauduleuze pagina leiden u naar echte Blizzard-sites. Dat gezegd hebbende, hun nationaliteit is niet consistent: sommige zijn Europees, en anderen Amerikaans.

Ik besloot mijn onderzoek voort te zetten om te zien hoe de aanvaller mijn account precies zou kapen. Op de neppagina klikte ik op de link “Create a free Blizzard Account” (waar niets mis mee was; de link leidde me naar de echte Blizzard-site), en meldde me aan voor een nieuw account. Nu ik me zo had voorbereid op mijn experiment, ging ik verder en gaf ik mijn nieuw aangemaakte account en het wachtwoord ervan aan de aanvallers.

Nadat ik mijn gegevens op de neppagina had ingevoerd, vroegen de makers van de website me om ze te helpen mijn nieuwe account te beveiligen via een snelle check. Hiervoor moest ik natuurlijk een verificatiecode invoeren die per e-mail werd verzonden. Deze code kwam van het echte adres van Blizzard.

Deze stap had ik al verwacht, en zodra ik mijn gegevens op de neppagina invoerde, voerden de aanvallers deze onmiddellijk op de echte pagina in. Maar ze hadden ook een verificatiecode nodig. Blizzard stuurde die code naar mijn e-mail, maar de aanvallers moesten me die dus nog ontfutselen. Ik speelde natuurlijk mee en voerde ook deze code op de neppagina in.

Daarnaast vroegen ze me om de een of andere reden nog het antwoord op een geheime vraag op de laatste pagina. De waarheid is dat ik toen ik me registreerde helemaal geen geheime vragen had ingesteld. Maar geen zorgen: ik was best bereid ze een antwoord te geven.

Veiligheidscheck” op valse Blizzard-website

Ik werd eerst geïnformeerd dat ik de verificatie succesvol had doorlopen. Zoals u al zult verwachten, logde er op hetzelfde moment iemand op mijn nieuwe account in (op basis van het IP-adres leek het om iemand in de Duitse stad Brandenburg te gaan, maar het is onwaarschijnlijk dat de aanvaller ook daadwerkelijk daarvandaan verbinding maakte; ze gebruikten waarschijnlijk een proxyserver, VPN of andere methodes om hun echte locatie te verbergen).

Eerst logde er iemand in via de Battle.net-applicatie, en vervolgens gingen ze door de web-interface. Ik vermoed dat dat gebeurde omdat de hackers geen World of Warcraft-personages in mijn Battle.net-account vonden en besloten om het account nog eens te controleren met gebruik van de webversie.

Recente inlogactiviteit op de echte Blizzard-website

Na ongeveer tweeëneenhalf uur stuurde Blizzard me een melding dat mijn wachtwoord gereset was vanwege verdachte activiteit. Blijkbaar hadden de interne verdedigingsmechanismes van Battle.net bepaald dat iemand anders toegang tot mijn account had verkregen, en ze hadden dus actie ondernomen om me tegen indringers te beschermen. Zoals u ziet doen de mensen bij Blizzard uitstekend hun best om gebruikers veilig te houden.

Hoe voorkomt u dat u slachtoffer wordt van phishing-aanvallen in World of Warcraft

De aanval waar ik mee te maken kreeg is vast niet de laatste phishing-poging in World of Warcraft Classic. Om het gevaar dit soort indringers te minimaliseren en het spel niet alleen voor uzelf maar ook voor anderen veiliger te maken, dient u rekening te houden met het volgende:

  • In World of Warcraft verschijnt er altijd een speciaal pictogram naast de naam van game masters (het ziet eruit als “BLIZZ” in het blauw). Als u dit pictogram niet ziet, dan praat u niet met een game master.
  • “Economische uitbuiting” evenals andere overtredingen van de spelregels zullen altijd tot gevolg hebben dat uw account wordt geblokkeerd. Dit soort overtredingen is geen legitieme reden voor een “veiligheidscheck” van uw account.
  • Het is onwaarschijnlijk dat game officials u een link van een derde partij sturen. Ze beschikken zelf immers al over de tools om overtredingen tegen te gaan. Om te bevestigen dat u de eigenaar van het account bent, hoeven ze alleen maar uw wachtwoord te resetten en degene die het account gebruikt eruit schoppen.
  • Als een speler contact met u opneemt met zo’n verzoek, meld dit ongepaste gedrag van via het formulier van battle.net.
  • Het is handig om Blizzards advies voor het veilighouden van uw account te volgen. Daar staat alles duidelijk uitgelegd: Hoe u een veilig wachtwoord en tweestapsverificatie instelt, waarom u beschermingssoftware nodig hebt, waarom applicatie-updates belangrijk zijn en hoe u “hygiënisch” met uw wachtwoord omgaat.

Wat betreft de beschermingssoftware raden wij het gebruik van een beveiligingsoplossing aan die u beschermt tegen spyware, phishing-pogingen detecteert en op veilige wijze wachtwoorden opslaat. Dankzij onze speciale Gaming Mode kan dat allemaal zonder daarbij aan gaming-prestaties in te boeten.

Tips