Diese so genannten Troll-Campaigns, also jene Aktionen die nur auf den Diebstahl von privaten Daten bzw. Account-Daten wie Benutzername und Passwort bedacht sind, führten alleine im Zeitraum zwischen Februar-März diesen Jahres zu einem großen Erfolg der Internet-Kriminellen. Lange Zeit herrschte Stille rund um das Metier des Phishings. Zeit genug für die Macher der Maschinerie von Diebstahl und Eigennutzen, die Glaubwürdigkeit der E-Mails zu überarbeiten.
Foto Sunbelt
Als Absender der dubiosen Mails wurde immer die glaubwürdige Adresse wowaccountadmin[at]blizzard.com angegeben. Dabei handelte es sich, wie der Blick auf das Absendedatum (Siehe Bild) der Mails mit der freundlichen Schlusszeile „soooooo whats up dude?“ offenbarte, nicht um Blizzard respektive deren Administratoren, sondern um eine einfache, gefälschte Mail mit dem Ziel, den Benutzer auf eine wiederum gefäschlte Website zu lotsen, auf der die Account-Daten eingegeben werden müssen.
Foto - Sunbelt
Für den Benutzer war es, durch die scheinbare Original-URL der Service-Seite Blizzards nicht ersichtlich, dass er nun in die Hände von Betrügern fällt. Erst ein Blick auf die Adresszeile des Webbrowsers zeigte den Unterschied: Statt hps://www,battle,net/ (…) wurde eine von den über 20 anderen Seiten aufgerufen. In diesem Fall hp://www,blizzard-wowlogin-battle,net (…). Gibt ein unvorsichtiger Spieler nun in gutem Glauben seine Zugangsdaten ein wird er auf die Original-Seite von Blizzard weitergeleitet. Dort müsste man sich wieder anmelden. Der Sunbelt-Blog überprüfte nach Auftreten dieses Phishing-Problems 20 Internetseiten:
- Alle wurden im Zeitraum vom 6. Juli bis zum 12. August 2010 eingerichtet
- Diese 20 Websites sind auf 14 verschiedene Personen mit ein und der selben Adresse angemeldet
- Die Aufteilung der Standorte war China (16), Indien (2), Unbekannt (1) und Pompano Beach (1)
Spieler des Online-Spiels WoW sollten zur Zeit besonders darauf achten, auf welchen Internetseiten Daten abgefragt werden, auf die Glaubwürdigkeit der Sites achten und im Zweifelsfalle eine WHOIS Abfrage einer Seite machen (z.B. bei Links innerhalb einer E-Mail) etwas bei Domaintools (http://whois.domaintools.com)
Stammt die Seite von Blizzard, so sollte das Ergebniss der Abfrage wie folgt aussehen:
Registrant:
Blizzard Entertainment
PO Box 18979
Irvine, CA 92623-8979
US
So gehören z.B. folgende Seiten zu Blizzard Entertainment und stellen keine Gefahr da:
- battle.net
- us.battle.net
- worldofwarcraft.com
- worldofwarcraft.worldofwarcraft.com
- us.blizzard.com
Alle Seiten, die diesen Adressen nicht entsprechen wie z.B. die von Sunbelt überprüften, sind mit Vorsicht zu genießen. Die unten aufgeführten Internet-Seiten wurden als Schädlich eingestuft:
- blizzard-wowaccount-battle.net
- battle-blizzard-battle.net
- blizzard-wowadmin-battle.net
- wowbattle-review.com
- eu.blizzard.restoreaccess.us
- us.blizzard.accountsecurity.us
- battrlie.net
- us.braittle.net
- wowaccount-survey.com
- us-battlewowaccounte.net
- batt1e.org
- battle-wow-battle.net
- us.support.blizzard.accountsecurity.eu
- wowbattle-automatic-detection.com
- wowbattle-group.com
- wow-world.battle-account.info
- blizzard-wowlogin-battle.net
- beta-cataclysmbeta-blizzard.net
- wow-battle-cataclysmbeta.com
- wow-battle-cataclysmbeta.net
Nutzer, die auf diesen Seiten Zugangsdaten eingegeben haben sollten sich schnellstmöglich an Blizzard wenden, die entsprechende Adresse nennen und um Hilfe in diesem Problem bitten. Quelle: sunbeltblog.blogspot.com