In den tiefen Weiten des Internets finden sich leider immer wieder Gestalten, die ahnungslose Surfende mit falschen Behauptungen und Androhung von Konsequenzen um ihr Geld erleichtern. Ein weit verbreiteter Scam ist der Steam-Scam, bei welchem im Moment oft über die Chat-Plattform Discord Nutzer um ihre Steam-Accounts erleichtert werden sollen.

Da ich immer wieder die Frage gestellt bekomme, wie die Scams von heute funktionieren, begebe ich mich gerne auf die Reise durch die Fakten-verdrehende Welt der Scammer, um deren Agieren zu dokumentieren und über die Gefahren ihres Handelns aufzuklären.

Bevor ich einsteige …

... möchte ich allerdings für alle, die Steam oder Discord nicht kennen kurz erklären, was diese Plattformen sind:

Steam

Die Plattform Steam wurde von der Firma Valve im Jahr 2003 veröffentlicht. Über Steam können Entwickler gegen eine Gebühr hauptsächlich Spiele, aber auch nützliche Anwendungen veröffentlichen und monetarisieren. Damit gehört Steam zu den größten Vertriebsplattformen im Gaming-Bereich, mit über 1 Milliarde erstellten Accounts und mehr als 90 Millionen aktiven Nutzern.

Discord

Discord ist eine 2015 von Hammer and Chisel (jetzt Discord Inc.) gegründete Kommunikationsplattform. Obwohl ursprünglich ausschließlich für den Gaming-Bereich gedacht, gab es über die Jahre mehrere Rebrandings von Discord, um die Plattform in den Mainstream zu bringen und möglichst viele Menschen anzusprechen. Über Discord können Nutzer in Text- und Sprachkanälen kommunizieren und auf Servern gleichgesinnte finden, um zusammen zu zocken, zu lernen oder einfach nur mit Freunden zu reden.

Der Anfang

Wie so oft erreichte mich vor ein paar Tagen eine Freundschaftsanfrage auf Discord. Da ich meine Account-Kennung an verschiedenen Stellen im Internet veröffentlicht habe, ist dies zunächst nichts Ungewöhnliches. Doch nach kurzem Smalltalk begann wie im Moment bei einer Vielzahl anderer Discord Nutzer der Versuch, mich um meinen Steam Account, meine Spiele und mein Geld zu erleichtern.

Der Nutzer Rick`` teilte mir mit, dass er meinen Steam-Account fälschlicherweise auf Steam wegen illegaler Aktivitäten gemeldet habe. Ein Support-Mitarbeiter habe sich bei ihm gemeldet und ihm mitgeteilt, dass mein Account kurz vor einer permanenten Sperrung steht. Der einzige Ausweg sei, einen Steam-Mitarbeiter über Discord zu kontaktieren und seinen Anweisungen Folge zu leisten.

Gefälschtes Support-Ticket, welches mir als Beweis gesendet wurde

Spätestens nach diesem Ticket sollte keine weitere Kommunikation mit den Scammern aufrechterhalten werden. Betrachtet man das Ticket genau, sollten folgende Fragen aufkommen:

Warum soll der Melder mich kontaktieren, um mir mitzuteilen, wie meine Sperrung zu lösen sei?
Warum wird mein Account nur wegen einer Meldung gebannt, ohne dass es Beweise für mein angebliches Verhalten gibt?
Warum gibt es eine Frist von 36 Stunden, um das Problem zu beheben und warum liegt es an dem Melder, mir in diesen 36 Stunden mitzuteilen, wo ich mich zu melden habe?
Warum werden die Accounts des Melders und mir permanent gesperrt, wenn ich nicht antworte?
Warum erfolgt diese Kommunikation über Discord und nicht Steams internes Ticketsystem?
Woher weiß Steam überhaupt, dass ich einen Discord Account habe und welcher das ist und woher weiß es der Melder?

Da ich aber wie vorher gesagt die Hintergründe des Steam-Scams beleuchten möchte, habe ich die Kommunikation fortgeführt und den angeblichen Mitarbeiter von Steam kontaktiert.

Kommunikation mit Rick``

Gib mir deine Daten!

Sobald der "Steam-Mitarbeiter" meine Freundschaftsanfrage auf Discord akzeptiert hatte, ging der Spaß auch schon los.

Nachdem ich mein Problem geschildert hatte, wollte der Nutzer einen Screenshot meines Zahlungsverlaufs auf Steam:

Zahlungsverlauf auf Steam (mit falschen Daten)

⚠️

Mit diesem Zahlungsverlauf kann sich der Scammer ein Bild davon machen, wie viel mein Account Wert ist. Außerdem werden diese Informationen benötigt, um die Wiederherstellung meines Accounts durchzuführen.

Zuletzt erhält der Scammer durch diesen Screenshot meinen Benutzernamen auf Steam. Er ist nicht direkt ersichtlich und muss deswegen erst auf diesem Weg ermittelt werden.

Als Nächstes folgt viel Schall und Rauch. Man solle sich abmelden und es würde ein automatisierter Prozess angestoßen, um meinen Account zu scannen.

Erster Teil des Chatverlaufs

Im Hintergrund startet der Scammer nun den Wiederherstellungsprozess für meinen Account. Dazu gibt er meinen Nutzernamen auf einer Support-Seite bei Steam ein und sendet einen Authentifizierungscode an die von mir hinterlegte Telefonnummer.

⚠️

Dieser Schritt ist je nach Scammer unterschiedlich. Es gibt 3 Möglichkeiten, einen Code zu erhalten:

- Steam Authenticator
- SMS
- E-Mail

Steam fragt bei der Account-Wiederherstellung nach allen 3 Möglichkeiten (sofern eingerichtet).

Sobald über 2 unterschiedliche Arten ein Code übermittelt und korrekt eingetragen wurde, kann der Scammer SOFORT und ohne weitere Zustimmung das Passwort des Steam Accounts ändern und hat damit vollen Zugriff auf den Account.

Allerdings reicht ein Code schon aus, um ein erweitertes Formular zu erhalten, mit dem über ein paar zusätzliche Daten eine manuelle Wiederherstellung des Steam Accounts durch den tatsächlichen Steam Support möglich wird.

Der Scammer versucht meinen SMS Bestätigungscode zu erhalten

Die Verifizierungsnachricht mit dem Sicherheitscode von Steam

ℹ️

An dieser Stelle hatte ich genügend Informationen gesammelt, um beide Accounts an Discords Trust & Safety Team zu melden. Normalerweise endet hier meine Interaktion und ich vertröste den Scammer mit einer Ausrede auf morgen.

Da das Trust & Safety Team zumindest bei mir immer innerhalb von einem Tag die gemeldeten Nutzer sperrt, muss ich mich mit ihnen so nicht weiter auseinandersetzen.

Da ich dem Scammer natürlich nicht meinen korrekten Bestätigungscode zukommen lassen möchte und ihn einfach mit der Ausrede hinhalte, der Code würde nicht ankommen, wird der Geselle etwas ungemütlich.

Durch die Erhöhung des Drucks und der Androhung, mein Account würde gebannt werden, versucht der Scammer mich in Panik zu versetzen, sodass ich unüberlegt ihm meine Sicherheitsdaten übermittle. Eine gängige Taktik.

Durch etwas Fluchen und damit der Suggestion, ich wäre sehr aufgebracht und besorgt um meinen Account, lässt sich sogar der Zweifel ich würde den Scammer verarschen, aus dem Weg schmettern.

Mit dem Zahlungsverlauf ist mir tatsächlich ein kleiner Fehler unterlaufen. Ich habe damals meinen Benutzernamen falsch eingetragen (astrogd_lukas statt lukas_astrogd) und somit kam mir der Scammer insoweit auf die Schliche, als dass er eine Bildschirmübertragung verlangte, über die ich den Zahlungsverlauf live aufrufen solle, um Manipulation auszuschließen.

Ein kleiner Fluch-ausrutscher und der Scammer ist wieder davon überzeugt, dass ich wirklich Angst um meinen Account habe

❗

Während des Anrufs mit Bildschirmübertragung möchte der Angreifer den Screenshot des Zahlungsverlaufs auf Richtigkeit überprüfen / einen neuen Screenshot anfertigen. Durch ein selbst programmiertes Browser-Addon werden meine tatsächlichen Daten allerdings durch falsche Daten ausgetauscht, sobald ich die entsprechende Steam Seite aufrufe. Gleiches gilt für meine Email-Adresse und meine verknüpfte Zahlungsmethode in den Einstellungen. Nur aus diesem Grund, konnte ich den Anruf mit dem Angreifer durchführen, ohne persönliche Daten von mir preiszugeben.

Die echten Daten geben dem Angreifer weitere wichtige Daten für den Wiederherstellungsprozess und führen zu weiteren Angriffsversuchen.

Mit meinem kleinen Browser-Plugin stürze ich mich also nach etwas technischer Vorbereitung in einen Sprachanruf und Bildschirmübertragung mit dem Scammer. Während des Anrufs haben wir beide unsere Mikrofone deaktiviert. Der Scammer sieht nun meinen (falschen) Zahlungsverlauf und meine (falsche) E-Mail-Adresse in den Accounteinstellungen.

So sieht der Scammer meinen falschen Zahlungsverlauf

Und so sieht die Einstellungsseite mit den falschen Angaben zu Steam-ID, Zahlungsmethode und E-Mail-Adresse aus

Nach der erfolgreichen Bildschirmübertragung versucht der Scammer jetzt sein Glück per Mail. Ich solle ihm den Bestätigungslink zusenden, den ich per E-Mail erhalten habe. Das mache ich natürlich nicht. Der Scammer erhält einen falschen Link, bei dem Steam zurückmeldet, dass dieser abgelaufen sei.

Statt SMS Code jetzt per E-Mail

Verifizierungsemail von Steam

ℹ️

Bei dieser Verifizierungsmail wird der Standort des Angreifers angegeben. Tatsächlich sind die Philippinen offenbar eine Hochburg der Steam-Scams, da dies nicht mein erster Scammer ist, der sich in den Philippinen befindet.

Ob der Angreifer seine IP-Adresse verschleiert und tatsächlich aus einem anderen Land stammt sei hier dahingestellt.

Nachdem ich inzwischen 5 Stunden mit dem Scammer verbracht hatte, wurde mir meine Zeit aber endlich auch zu schade. Ich vertröstete den Scammer auf morgen und ging (tatsächlich) schlafen.

Müde vertröstete ich den Scammer auf morgen

Am nächsten Tag wurden beide Accounts dann von Discord gesperrt und als Spam markiert.

Hinweis, dass dieser Account Spam versendet

Meine Kommunikation mit dem Discord Trust & Safety Team

Was wäre wenn?

Was wäre jedoch passiert, wenn ich dem Scammer Authentifizierungscodes und echte Daten übermittelt hätte?

Zuerst kann der Scammer über meinen Account-Namen den Wiederherstellungsprozess starten:

Steam-Fenster zum Starten des Accountwiederherstellungsprozesses

Im Anschluss wählt der Scammer, wie er einen Sicherheitscode anfordern möchte:

Eine Möglichkeit, den Bestätigungscode anzufordern

Gibt der Scammer nun z.B. bei der Bestätigung per SMS den korrekten Code ein, kann er

einen zweiten Code über einen anderen Weg anfordern und sofort mein Passwort ändern / Meine 2-Faktor Authentifizierung deaktivieren
das Formular zur manuellen Wiederherstellung aufrufen

Mit 2 korrekt eingegebenen Codes kann ein Account ohne weiteres übernommen werden

Formular zur manuellen Accountwiederherstellung, wenn nur ein Code korrekt eingegeben wurde

Für das Formular der Accountwiederherstellung hat der Scammer folgende Daten in den meisten Fällen über die Bildschirmübertragung herausgefunden:

Die erste E-Mail, die für den Account verwendet wurde (Das ist oftmals die aktuelle, denn wer ändert schon seine E-Mail-Adresse?)
Die PayPal Account-Mail
Einen Screenshot des Zahlungsverlaufs (als Anhang)

Ich nehme an, dass der Scammer jetzt nach einer Invoice ID für einen Steam-Einkauf über PayPal und meinem Namen fragen würde. Die Adresse lässt sich einfacher herausfinden. Bei mir ist diese z.B. im rechtlich vorgeschriebenen Impressum meiner Webseite zu finden. Auch die Telefonnummer kann einfach erfragt werden.

Dass der Scammer diese Daten erhält, ist gar nicht so weit hergeholt. An diesem Punkt hat er ja schließlich auch mindestens einen Bestätigungscode korrekt erhalten.

Nach der Eingabe aller Daten hat der Scammer eine realistische Chance, Zugriff auf den Account zu erhalten und sich mit Geld, Spielen und Inhalten aus dem Staub zu machen.

Fazit

Dass der Steam Scam funktioniert, steht außer Frage. Auf der Plattform Reddit häufen sich Posts von betroffenen Nutzern, deren Account gestohlen und Inhalte verkauft wurde.

Eine Auswahl von Posts auf Reddit

Also was jetzt? Nun zuerst einmal danke fürs Lesen! Alleine durch die Tatsache, dass du dich mit der Materie beschäftigt hast, weißt du, auf welche Dinge du achten solltest, sei es jetzt bei einem Steam Scam oder anderen Scams wie diesem Versuch, einen Instagram Account zu hacken:

Der Versuch einen Instagram Account zu hacken, indem der Passwort-Vergessen Link als Screenshot an den Angreifer gesendet werden soll | Quelle: https://www.reddit.com/r/Scams/comments/xxd7oj/i_fell_for_an_instagram_takeover_scam_i_think/

Wenn du möchtest, teile gerne diesen Beitrag mit Bekannten, damit mehr Aufmerksamkeit für die Erkennung von Scams geschaffen wird. Und wenn du einen Scammer in freier Wildbahn triffst: Melde den Account! Damit kannst du anderen indirekt helfen, weil sie gar nicht erst in den Kontakt mit dem Scammer treten können.

Nützliche Links habe ich dir hier zusammengestellt:

~~Einen Discord-Account melden:~~ ~~https://dis.gd/report~~

💡

Update vom 06.02.2024
Inzwischen gibt es kein Online-Formular mehr, um Nachrichten oder Accounts an Discord zu melden. Das Ganze ist nun direkt in der App über das Kontextmenü (Rechtsklick oder Nachricht gedrückt halten) möglich.
Danke an den Leser, der mich darauf hingewiesen hat ❤️

Hilfe bei gestohlenem Steam Account: https://help.steampowered.com/en/wizard/HelpWithAccountStolen

Danke fürs Lesen!

Hey, ich bin Lukas 👋
In meiner Freizeit beschäftige ich mich sehr viel mit Datenschutz und Sicherheit im Internet. Meine Erfahrungen und Erlebnisse teile ich gerne, um für genau diese Themen zu sensibilisieren.

Beiträge wie diese brauchen viel Zeit für die Vorbereitung und das Schreiben. Wenn dir also mein Beitrag gefallen oder sogar geholfen hat, spendiere mir doch einen Kaffee, damit ich wach für mein nächstes Projekt bin :)