WoW Trickbetrüger räumen Inventar leer

Auch wenn der Begriff "Social Engineering" vielen noch unbekannt ist, so findet es dennoch auch im privaten Bereich bereits häufig Anwendung. Ob angebliche Support-Anrufe von "Microsoft Mitarbeitern" oder als Emailanhang versendete Crypto-Trojaner, Ziel ist es durch Beihilfe des Opfers das erwünschte Ergebnis zu erreichen. Wie kürzlich in den Nachrichten der Videospielindustrie berichtet wurde, gibt es eine neue* Masche mit der Trickbetrüger in World of Warcraft versuchen das Inventar anderer Spieler zu leeren.

Dabei haben Angreifer es besonders einfach da sie den Spieler lediglich dazu bringen müssen, den folgenden Befehl im Chat-Interface des Spiels auszuführen.

/run RemoveExtraSpaces=RunScript

Dazu kommt, dass dieser Befehl bisher undokumentiert, und somit selbst den technisch versierten Nutzern mit hoher Warscheinlichkeit unbekannt war. Spieler ohne tieferes Wissen über die Befehle des WoW-Chatsystems haben es hier noch schwerer. Dies funktioniert solange der Spieler das beliebte Chat-Addon Weakauras installiert hat.

Kann ein Angreifer einen Spieler davon überzeugen den oben dargestellten Befehl auszuführen, beispielsweise indem er diverse Verbesserungen verspricht die sich dem Spieler dadurch ergeben, öffnen sich diesem Tür und Tor zum Account des Spielers. Hinzu kommt, dass der Befehl nicht einfach zurückgenommen werden kann wenn er erst einmal eingegeben wurde. Selbst wenn der Spieler nach der Eingabe bemerkt, dass sich die gewünschte und versprochene Änderung nicht eingestellt hat, ist es unter Umständen bereits zu spät.

Was ist an dem Befehl so gefährlich?

/run Dieser Abschnitt teilt dem Chatsystem mit, dass es sich bei dem folgenden Text um einen Befehl handelt.
RemoveExtraSpaces= Dieser Befehl entfernt unbenötigte Leerzeichen von Textzeilen
RunScript Hierbei handelt es sich um eine Funktion, mit der LUA-Skripte ausgeführt werden kann.

LUA ist eine Skript-Sprache mit der sich komplexe Vorgänge programmatisch abhandeln lassen. Die Zusammensetzung von RemoveExtraSpaces=RunScript hat zur Folge, dass die erste Funktion von der zweiten Überschrieben wird. Somit wird eine betroffene Textzeile durch RunScript als LUA-Code interpretiert, anstatt wie eigentlich gewünscht durch RemoveExtraSpaces von unnötigen Leerzeichen befreit zu werden. Somit werden sämtliche eingehenden Chatnachrichten in World of Warcraft als LUA-Befehle interpretiert.

Durch diesen Trick gelingt es Angreifern die WoW-Accounts aus der Ferne zu steuern und somit die Kontrolle darüber zu erlangen. Durch den Zugriff kann ein Angreifer nun beispielsweise die Position des Spielers in der Spielwelt herausfinden, sich der Spielfigur nähern und dann über das Tauschsystem Gegenstände und Gold aus dem Inventar mit dem eigenen Charakter "tauschen". Darüber hinaus kann der übernommene Account auch missbraucht werden, um weitere Spieler wie Freunde und Gildenmitglieder davon zu überzeugen den Befehl auszuführen.

Was tun wenn der Befehl ausgeführt wurde?

Laut GameStar hilft im Falle einer solchen Attacke ein einfacher Neustart leider nicht. Stattdessen müssen die folgenden Ordner im WoW-Installationspfad gelöscht werden. Dies entfernt aber gleichzeitig auch alle Interface-Addons und Einstellungen.

  • WTF
  • Cache
  • Logs
  • Interface (optional, aber empfohlen)

Hier findet man den Beitrag von GameStar dazu. Eine genauere Anleitung zur Lösung für betroffene findet sich im offiziellen WoW-Forum (Sucht mit Strg+f nach "THE FIX").

Blizzard Update soll die Lücke schließen

Blizzard hat inzwischen einen Patch für das Problem veröffentlicht, der jedoch scheinbar weniger Effektiv ist als sich das so mancher wünschen würde. Laut dem Blogpost von GData sorgt dieser nämlich lediglich dafür, dass bei der ersten Ausführung eines Skripts eine Abfrage erscheint, die vom Spieler bestätigt werden muss. Problematisch ist hier leider, dass diese Abfrage nicht mehr erscheint sobald man einmal mit "Ja" geantwortet hat. In einem Forumbeitrag auf ownedcore.com wird der Ablauf des Angriff noch mehr im technischen Detail erklärt. In einem Nachtrag des Forenbeitrags steht, dass der Angriff jetzt nicht mehr funktioniert, gibt aber keine weiteren Details ob alternative Befehle getestet wurden um das gleiche Ziel zu erreichen.

"Edit: this appears to be partially, if not completely, fixed; I can no longer seem to send the second string of code to another player, as the message just does not send. [...]"

Wie kann ich mich vor solchen Attacken schützen?

Schützen kann man sich vor dieser Art von Angriffen am besten, indem man unbekannte Befehle nicht einfach ausführt und zuvor kurz recherchiert oder zur Not auf entsprechenden Onlineportalen nachfragt. Gerade in diesem Fall fiel uns eine (ältere) Reddit Diskussion auf, in welcher scheinbar der gleiche Angriff behandelt wurde. Darüber hinaus hilft es den gesunden Menschenverstand einzuschalten, sich ein klein wenig Misstrauen im Internet zu bewahren und vor allem die ein oder andere Sekunde Denkpause, bevor man eine unbekannte Aktion durchführt. Für Firmen und Organisationen die ihre Mitarbeiter gegen SocialEngineering schulen möchten, gibt es auch entsprechende "Security Awareness" Kurse.

* Auch wenn die Medien von einer neuen Masche berichten, lässt der oben verlinkte Reddit Beitrag vermuten, dass diese Art von Angriff bereits vorher bekannt war und ausgenutzt wurde.