Games Mehrere Sicherheitslücken haben Millionen Fortnite-Spieler gefährdet

Millionen Menschen spielen Fortnite, darunter auch viele Kinder und Jugendliche. Die digitalen Kostüme, die Spieler in Fortnite für ihre Figur kaufen können, sind bei ihnen sehr beliebt. Sie machen das Spiel aber auch für Betrüger interessant.

(Foto: Epic Games / Screenshot Youtube)
  • IT-Forscher haben eine Sicherheitslücke in dem Onlinespiel "Fortnite" entdeckt. Betrüger konnten damit theoretisch Accounts übernehmen und Kreditkartendaten missbrauchen.
  • Die Lücke ist inzwischen geschlossen. Doch auch mit anderen Mitteln versuchen Betrüger, die oft sehr jungen Spieler um ihr Geld zu bringen.
  • Fortnite ist derzeit eines der beliebtesten Spiele weltweit, etwa 200 Millionen Accounts wurden bisher angelegt.
Von Caspar von Au

Es ist ein virtueller Überlebenskampf, den vor allem Kinder und Jugendliche bestreiten: In dem Computerspiel "Fortnite" treten sie mit 99 anderen Spielern Runde für Runde gegeneinander an. Wer am Ende übrig bleibt, gewinnt. Das klingt brutal, doch eine bunte Spielwelt mit lustigen Kostümen und Siegertänzen macht Fortnite zu einem der beliebtesten Onlinespiele weltweit. Millionen Menschen spielen es regelmäßig, viele davon sind noch sehr jung. Dass Fortnite so beliebt ist, macht es auch für Angreifer attraktiv: Forscher haben nun mehrere Sicherheitslücken entdeckt, mit denen sich Betrüger Zugriff auf Fortnite-Konten verschaffen und zum Beispiel Kreditkartendaten missbrauchen konnten. Dabei konnte der Account gekapert werden, ohne dass der Nutzer Verdacht schöpft.

Den Forschern ist es gelungen, einen Link zu manipulieren, der zum Login-Bereich von Fortnite führt. Der Link kommt scheinbar von dem Entwickler des Spiels, von der Firma Epic Games. Das lässt ihn vertrauenswürdig erscheinen, doch dahinter könnte sich in Wahrheit ein Angreifer verstecken. "Niemand wird dahinter eine Betrugsseite vermuten, jeder wird den Link anklicken", sagt IT-Sicherheitsforscher Oded Vanunu. Wer hereinfällt und sich anschließend über die sogenannte Single-Sign-on-Funktion (SSO) einloggt - also beispielsweise sein mit Fortnite verknüpftes Facebook-Konto dafür nutzt - wird auf eine bösartige Internetseite umgeleitet. Dort greifen die Betrüger den Verifizierungscode ab, den Facebook an Epic Games schickt. Sie brauchen also nicht einmal das Passwort des Opfers. Mit dem Verifizierungscode haben sie Zugang zu seinem Fortnite-Account. Hat der Spieler dort Bezahldaten hinterlegt, können die Angreifer auf seine Kosten in Fortnite Geld ausgeben.

Einmal im fremden Account, haben Betrüger die volle Kontrolle

Ob diese Methode so in der Praxis angewendet wurde, weiß Vanunu nicht. Aber er weiß, dass mehrere Sicherheitslücken in der digitalen Infrastruktur von Epic Games bis Ende Dezember diese Methode möglich machten. Angreifer hätten die Lücken ausnutzen können, um so potenziell Millionen von Fortnite-Accounts zu übernehmen, sagt Vanunu. Das beschreibt er in einem an diesem Mittwoch veröffentlichten Bericht des israelischen IT-Sicherheitsdienstleisters Check Point ausführlich.

Games-Jahresvorschau

Das werden die Spiele-Highlights 2019

Mittlerweile hat Entwickler Epic Games die entsprechenden Sicherheitslücken geschlossen. In einer Stellungnahme des Unternehmens heißt es: "Wir wurden auf die Schwachstellen hingewiesen und sind diese bald angegangen." Doch Vanunu und sein Team wollen, dass die Spieler erfahren, vor welchem Unheil die Sicherheitsfirma sie mutmaßlich bewahrt hat. Fortnite ist schließlich das beliebteste Computerspiel derzeit: Nach Angaben des Herstellers gibt es mehr als 200 Millionen Fortnite-Accounts weltweit, 80 Millionen Menschen spielen jeden Monat. "Du kannst dich dort mit anderen Spielern verbinden, chatten, und so weiter", sagt Vanunu. Fortnite sei - aus Sicht der Sicherheitsforscher - vergleichbar mit Twitter, Facebook oder Instagram.

Einmal in einem fremden Account, können die Betrüger mit den Freunden des ursprünglichen Besitzers chatten, sie bei Gesprächen belauschen und möglicherweise weitere persönliche Daten abgreifen. Sie können die Zugangsdaten des Accounts ändern und sie können hinterlegte Kreditkarteninformationen missbrauchen.

Auf Ebay werden Accounts und digitale Fortnite-Gegenstände verscherbelt

Gerade Letzteres ist offenbar besonders interessant für Online-Betrüger. Fortnite an sich ist zwar kostenlos, aber Spieler können echtes Geld gegen eine virtuelle Währung im Spiel tauschen. Mit dieser Währung wiederum - genannt V-Bucks - kaufen sie digitale Gegenstände, ein Hasenkostüm für ihre Spielfigur etwa oder einen der virtuellen Freudentänze. In der Gemeinschaft der Spieler gelten diese Gegenstände als Statussymbole, viele geben dafür reales Geld aus.

Kinder sind deshalb besonders anfällig für Lockangebote, bei denen es vermeintlich kostenlose V-Bucks gibt. Wenn man die virtuelle Fortnite-Währung im Internet sucht, werden dem Nutzer entsprechende Autovervollständigungen vorgeschlagen. In der Regel führt das Nutzer auf Internetseiten, die einem kostenlose V-Bucks versprechen, wenn man seinen Fortnite-Nutzernamen und die gewünschte Menge eingibt. Ein Klick auf den Button scheitert dann vorgeblich. Der Nutzer wird aufgefordert, persönliche Daten einzugeben, etwa eine Handynummer. Am Ende bekommt er trotzdem nicht die erhofften Gratis-V-Bucks, sondern schließt beispielsweise ein teures Abo ab. Eine ähnliche Masche, sagt Sicherheitsforscher Vanunu von Check Point, hätten Angreifer auch nutzen können, um Ahnungslose dazu zu bringen, auf den von den Forschern manipulierten Login-Link zu klicken.

Ist ein Account erst einmal übernommen, können die Betrüger mit der hinterlegten Kreditkarte digitale Gegenstände wie Kostüme kaufen. Auf Ebay oder anderen Drittplattformen werden diese Gegenstände oder ganze Accounts gegen echtes Geld verscherbelt. Das verstößt gegen die Nutzungsbedingungen von Fortnite, Betrüger stört das nicht. Den Schaden hat meist der Angegriffene. Ein Epic-Games-Sprecher teilt dazu mit: "Wir nehmen diese Probleme ernst, da Rückbuchungen und Betrug unsere Spieler und unser Unternehmen in Gefahr bringen."

Nutzer sollten ihre Accounts mit Zwei-Faktor-Authentifizierung schützen

Um die Fortnite-Gegenstände ist inzwischen ein florierender Schwarzmarkt entstanden. Wie das israelische IT-Sicherheitsunternehmen Sixgill herausgefunden hat, sollen auf Ebay mit dem Verkauf von Fortnite-Gegenständen 2018 innerhalb von zwei Monaten 250 000 US-Dollar umgesetzt worden sein. Das berichtet die britische Tageszeitung The Independent. Im Darknet werden V-Bucks verbilligt angeboten. Bezahlt wird dort häufig mit Cryptowährungen wie Bitcoin, solche Zahlungen können weitgehend anonym vollzogen werden. Die US-Sicherheitsfirma Zerofox hat allein im Zeitraum zwischen Anfang September und Anfang Oktober 2018 mehr als 53 000 Betrugsfälle gesammelt, die im Zusammenhang mit Fortnite stehen.

Der Weg, den Check Point in seinem Bericht aufzeigt, ist zwar inzwischen geschlossen. Trotzdem wird Fortnite aufgrund seiner Beliebtheit weiterhin eines der Top-Angriffsziele für Betrüger bleiben. Epic Games empfiehlt seinen Spielern daher, die Accounts mit starken Passwörtern zu schützen, keine Passwörter mehrfach zu verwenden und die Anmeldeinformationen nicht mit anderen zu teilen. Im Fall dieser Sicherheitslücken hätte das freilich nicht viel gebracht. Schließlich mussten die Angreifer keine Anmeldedaten wissen, um in den fremden Account zu gelangen.

Sicherheitsforscher Vanunu empfiehlt Nutzern und Eltern daher, für den Fortnite-Account die sogenannte Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Loggt sich ein Spieler ins Spiel ein, muss er seine Anmeldung auf einem zweiten Gerät oder per E-Mail zusätzlich bestätigen. Auch Epic Games empfiehlt diesen Schritt, um Accounts zu schützen, und lockt sogar mit einer Belohnung: Wer 2FA aktiviert, erhält den virtuellen Freudentanz "Boogie Down" kostenlos.

Games "Du musst niemanden töten, um zu gewinnen"

Gamescom

"Du musst niemanden töten, um zu gewinnen"

Hunderte Millionen Menschen spielen "Fortnite" oder "PlayerUnknown's Battlegrounds". Im Interview erklärt Genre-Erfinder Brendan Greene, warum sich Battle-Royal-Shooter auch für Pazifisten eignen.   Interview von Caspar von Au