Anzeige

Anzeige

VERANSTALTUNGEN

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Rethink! IT 2019
16.09.19 - 17.09.19
In Berlin

DSAG-Jahreskongress
17.09.19 - 19.09.19
In Nürnberg, Messezentrum

Anzeige

Anzeige

Fortnite Quelle EdmundOConnor Shutterstock Com700

Bild: Edmund O’Connor / Shutterstock.com

Sicherheitsforscher von Check Point gaben Details der Sicherheitslücken bekannt, die für alle Spieler des äußerst beliebten Online-Shooters Fortnite hätten Folgen haben können.

Fortnite verzeichnet weltweit nahezu 80 Millionen Spieler. Das Spiel ist auf allen Gaming-Plattformen, wie Android, iOS, PC über Microsoft Windows sowie auf Konsolen, wie Xbox One und Play Station 4, populär. Neben Freizeitspielern nutzen Fortnite auch professionelle Gamer, die ihre Sessions online streamen. 

Hätten Angreifer die Sicherheitslücke ausgenutzt, hätten sie vollen Zugriff auf die Konten und persönlichen Daten der Nutzer erlangt und wären somit in der Lage gewesen, über die Kreditkartendaten des Opfers virtuelle In-Game-Währung zu kaufen. Die Schwachstelle hätte auch einen massiven Eingriff in die Privatsphäre bedeutet. Dem Hacker wäre es möglich gewesen, die In-Game-Gespräche sowie die Umgebungsgeräusche und Unterhaltungen im Haus des Opfers oder an anderen Spielorten mitzuhören.

Fortnite-Spieler waren schon früher Ziel von Betrugsversuchen. Hierbei war es das Ziel sie zu verleiten, sich in gefälschte Webseiten einzuloggen, die versprachen, „V-Buck“, die In-Game-Währung von Fortnite, zu generieren. Die neuen Sicherheitslücken hätten jedoch ohne eine aktive Beteiligung der Spieler genutzt werden können und somit ohne die Preisgabe der Log-in-Daten.

Aufgrund dreier Sicherheitslücken, die in der Webinfrastruktur von Epic Games gefunden wurden, waren die Forscher in der Lage, den Token-basierten Authentifizierungsprozess nachzuahmen, der dann in Verbindung mit Single-Sign-On-Systemen (SSO), wie Facebook, Google und Xbox genutzt wurde, um die Zugangsdaten von Nutzern zu stehlen und ihre Konten zu übernehmen.

Um Opfer dieses Angriffs zu werden, muss ein Spieler lediglich einen manipulierten Phishing-Link anklicken, der von einer Domain von Epic Games kommt, um alles sicher erscheinen zu lassen. Tatsächlich aber wurde der Link vom Angreifer versandt. Sobald der Nutzer den Link angeklickt hat, könnte das Fortnite-Authentifizierungstoken vom Angreifer abgefangen werden, ohne dass der Nutzer seine Login-Daten eingeben muss.

Laut Angaben der Forscher entstanden die potentiellen Sicherheitslücken durch Fehler, die in zwei Unterdomänen von Epic Games gefunden wurden und eine bösartige Umleitung ermöglicht hätten. Dadurch wäre es einem Hacker möglich gewesen, die legitimen Authentifizierungstokens der Nutzer von der kompromittierten Unterdomäne abzufangen.

Check Point und Epic Games raten allen Nutzern wachsam zu bleiben, wann immer Informationen digital ausgetauscht werden, sowie sichere Cyberpraktiken anzuwenden. Benutzer sollten auch die Legitimität von Links zu angeblichen Informationen, die in Nutzerforen und auf Webseiten zu sehen sind, infrage stellen.

Organisationen müssen in ihrer IT-Infrastruktur gründliche und regelmäßige Hygienechecks vornehmen, damit gewährleistet ist, dass keine veralteten und ungenutzten Seiten oder Zugriffspunkte online sind. Darüber hinaus ist es gute Praxis, alle veralteten Webseiten oder Unterdomänen zu überprüfen, die vielleicht noch online sind, aber nicht mehr genutzt werden.

Um die Gefahr zu minimieren, Opfer eines Angriffs zu werden, bei dem Sicherheitslücken wie diese ausgenutzt werden, sollten Benutzer die Zwei-Faktor-Authentifizierung aktivieren. Dadurch ist gewährleistet, dass der Spieler, wenn er sich von einem neuen Gerät aus in sein Konto einloggt, einen Sicherheitscode eingeben muss, der zuvor an die E-Mail-Adresse des Kontoinhabers geschickt wurde. Wichtig ist auch, dass Eltern ihre Kinder auf die Gefahr von Online-Betrug aufmerksam machen und warnend darauf hinweisen, dass Cyberkriminelle alles tun, um Zugriff auf persönliche und finanzielle Daten zu erlangen, die Teil des Online-Kontos eines Gamers sein können.

www.checkpoint.com

GRID LIST
Botnet

Account Takeover Angriffe - Botnets aufspüren

Eine neue, erhaltensbasierte Erkennungssoftware erkennt selbst geringe Abweichungen im…
Hacker Gesundheitswesen

Cyberangriffe auf medizintechnische Geräte - und wie man Sie verhindert

Cyberangriffe treten in vielen unterschiedlichen Formen in Erscheinung. Wenn sie sich…
Hacker Tür

IoT-Drucker sind Einfallstore für Hacker

Immer öfter versuchen Hackergruppen über IoT-Geräte (Internet of Things) auf interne…
KI Security

Wie viel KI benötigt IT-Security?

Künstliche Intelligenz (KI) oder maschinelles Lernen (ML) sind mittlerweile zu…
Trojaner

Schwachstelle Mensch: Trojaner Baldr nutzt Gamer-Natur aus

Malware allein ist schon gemein. Doch wenn Cyberkriminelle die Vorlieben von…
Deception Technologie

Cybertrap schickt Hacker in irreale IT-Parallelwelten

Deception Technologie-Spezialist will die Zukunft der Cybersecurity verändern und…