Gamers in het net van phishing-bendes

Fraudeurs maken volop jacht op World of Warcraft accountinformatie

Amsterdam, 27 januari 2010

Online criminelen hebben in 2010 de jacht op gamingaccounts flink geïntensiveerd. In de afgelopen weken hebben de experts van G Data’s SecurityLab verschillende phishing-aanvallen op spelers van de online game World of Warcraft waargenomen. Het doel van de cybercriminelen is het bemachtigen van toegangsgegevens van de gamers. Deze gegevens worden op online zwarte markten verhandeld en kunnen tot €30,- opleveren. De werkwijze van de gegevensdieven: In spammails stellen zij de WoW-speler op de hoogte van een zogenaamd doorgevoerde wachtwoordwijziging. Spelers worden naar een bedrieglijk echt uitziende log-in pagina geleid om daar hun (oude) toegangsgegevens in te voeren.

Social engineering verleidt slachtoffers om te klikken
Eén van de recente phishingaanvallen werkt op een heel geraffineerde manier: De ontvanger van de e-mail krijgt het bericht dat zijn wachtwoord onlangs op de "Account Management-site" is gewijzigd. Indien de gebruiker deze wijziging zelf heeft doorgevoerd, dan is verdere actie niet noodzakelijk. Echter, als dat niet zo is, dan dient de speler contact op te nemen met Blizzard, de producent van World of Warcraft. Een link naar een nep-log-in pagina is al voorbereid onder een uitnodigende "klik hier"-hyperlink in de e-mail.

Het grootste deel van de gebruikers wordt op deze manier verleid om op de link te klikken: zij hebben hun wachtwoord immers naar alle waarschijnlijkheid niet onlangs gewijzigd. Zij zullen dus vermoeden dat er een fraudepoging is geweest. Dat vermoeden is niet geheel onterecht. Alleen zijn zij degenen die de fraudeurs vervolgens de kans geven om toe te slaan door hun echte gegevens op de nagemaakte pagina in te typen.

Screenshot 1: Een screenshot van de betreffende World of Warcraft phishing-e-mail

Het verraderlijke aan deze phishingmail is enerzijds het verbergen van het echte webadres achter de link "Klik hier" en anderzijds de kwaliteit van het valse adres: worldrofwarcraft.net - De ingevoegd: "r" is tussen "world" en "of" valt nauwelijks op. De authentiek ogende webpagina waar de link naar leidt, is een goede kopie van het originele Battle.net log-in en wekt ook niet direct argwaan.

Screenshot 2: De valse WoW log-in pagina

Nepafzender
De werkelijke afzender van de e-mail is uiteraard niet support@blizzard.com - De e-mail is in werkelijkheid afkomstig van een Chinese server. De spammers hebben de naam van de verzendserver veranderd in blizzard.com met behulp van een HELO-commando. Dit commando is verstuurd naar de SMTP mailserver van de betreffende internet provider – in dit geval: web.de. Hierdoor lijkt het afzenderadres, net als de log-in pagina, ook authentiek te zijn.

Screenshot 3: De header van de phishing e-mail met vervalste afzender identificatie