Nach der Veröffentlichung des Spiels für Smartphones in der Augmented Reality von
Pokémon Go im Juli letzten Jahres wurde es zu einem internationalen Phänomen. Das Spiel motivierte die Spieler, das Haus zu verlassen und auf der Suche nach Monstern durch die Straßen zu gehen. Innerhalb einer Woche nach der Veröffentlichung war die Anzahl der
Pokémon Go- Benutzer innerhalb von 24 Stunden höher als die der aktiven Twitter-Benutzer.
Allerdings konnte nicht jeder das Spiel starten: Die wilde Beliebtheit von
Pokémon Go zog mehr Spieler an, als die Server des Anwendungsentwicklers Niantic aushalten konnten. "Wahrscheinlich war die Nachfrage nach dem Spiel zu groß", schlug
eine der Quellen vor und sprach über Einfrierungen und Probleme beim Zugriff auf den Server von Spielern auf der ganzen Welt.
Die Wahrheit war jedoch etwas anders.
Fast nach dem Start des Spiels begannen Hacker, Armeen von Bots zu bilden - digitale Golems, die anstelle von Benutzern spielten, Pokemon züchteten und Pokestops belagerten, um den Wettbewerb zu gewinnen. Der junge französische Hacker Maxim Griot sagt: „Wir haben versteckte Variablen entdeckt, die den„ Grad der Perfektion “des Pokémon kontrollierten. Daher könnten unsere Bots die fortschrittlichsten Versionen aller Pokémon fangen. “
Mit diesen Informationen konnten Hacker Strategien für eine schnellere Erfahrung einsetzen als Live-Spieler. "Wir könnten für den durchschnittlichen Benutzer theoretisch unmögliche Werte erreichen", sagt Griot.
Furchtlose Hacker
Pokémon Go fand bald einen Weg, nicht nur die Wahrscheinlichkeit, sondern auch die Geographie zu täuschen. Normale Spieler mussten die entsprechenden Orte physisch besuchen, um nach "endemischen" Monstern zu suchen. Hacker-Bots konnten sich überall auf der Karte bewegen, wo seltene Kreaturen gefangen wurden.
Während Mainstream- und spezialisierte Spielemedien die Geschichte der Serverüberlastung aufgrund der unglaublichen Beliebtheit bei Spielern wiederholen, kennt Griot, jetzt
Betrugsingenieur bei
Bethesda Softworks , die Wahrheit:
Die Server von
Pokémon Go wurden von Wellen von Robotern überwältigt, nicht von Menschen. Ende August begann Niantic, den Machern öffentlich zugänglicher Bots stillschweigend
mit Strafverfolgung zu drohen.
In den letzten Jahren ist die Verwendung von Cheat-Bots zum Fluch vieler Online-Videospiele geworden. Grundsätzlich ist diese Art des Betrugs in MMO üblich, beispielsweise in
World of Warcraft . Kurze oder gelangweilte Spieler verwenden Bots, um Monster zu zermahlen - automatisch Farm-Erfahrungspunkte, um ihren Charakter zu verbessern.
Lebende Spieler sind es bereits gewohnt, virtuelle Welten mit Bots zu teilen und ihre Ziele mechanisch und monoton zu verfolgen. Nach dem Überschreiten einer bestimmten Anzahl von Bots kann das Ökosystem des Spiels jedoch abstürzen.
"Bots übertreffen Live-Spieler beim Sammeln aller verfügbaren Ressourcen und können die Welt unspielbar machen", erklärt Griot. „Es kann ein Spiel töten. Die große Anzahl von Bots, die das Spiel spielen, ist für den Publisher schädlicher als fast jede Form von Hackerangriff. “
Bots sind nur eine der Möglichkeiten, wie Hacker ein Spiel aus dem Gleichgewicht bringen können, um Vorteile zu erzielen. Oft sind Hacker in der Lage, FPS-Spielern übermenschliche Vorteile zu verschaffen: Sie erstellen und verkaufen Cheats, mit denen prinzipienlose Benutzer
automatisch in den Kopf gelangen oder Objekte sehen und durchschießen können.
Für einen erfahrenen Hacker kann es unglaublich einfach sein, den gewünschten Code in ein ausführbares Spiel einzufügen, was ihnen (oder den Personen, an die sie den Cheat verkauft haben) einen unfairen Vorteil gegenüber anderen Spielern verschafft. Oft wird der Netzwerkverkehr während des Spiels nicht verschlüsselt, um die Geschwindigkeit nicht zu verringern. Ohne Verschlüsselung kann ein Angreifer den zwischen dem Spiel und dem Server übertragenen Netzwerkverkehr ändern. Wenn auf der Serverseite keine zusätzlichen Überprüfungen durchgeführt werden, verfügt der Cheat über Schlüssel für die gesamte virtuelle Welt.
"Einer der beliebtesten Hacker-Angriffsmethoden ist das Reverse Engineering", sagt Griot, der im Alter von vierzehn Jahren das Programmieren gelernt hat. Nachdem er von Frankreich nach Los Angeles gezogen war, begann er, Online-Spiele zu hacken, damit sie auf privaten Servern funktionieren, ohne ein monatliches Abonnement zu bezahlen.
Als Student verdiente er sogar Geld mit der vorzeitigen Veröffentlichung beliebter Spiele auf privaten Servern und bat um freiwillige Beiträge. "Der einfachste Weg, ein Spiel zu täuschen, besteht darin, zu verstehen, wie der Client funktioniert und wie der Server reagiert", sagt er. "Nachdem Hacker die Daten herausgefunden haben, schreiben sie einfach Bots oder umgehen den Abwehrmechanismus auf der Client-Seite."
Ian Reynolds ist einer der führenden britischen Online-Sicherheitsberater. In der Vergangenheit führte er Sicherheitstests im königlichen Netzwerk des Buckingham Palace durch. Seiner Meinung nach sind Hacker-Bedrohungen für Spieleentwickler viel bedeutender als nur Epidemien von Bots oder Betrügern. „Viele moderne Spiele können Finanzinformationen verarbeiten, um zusätzliche Inhalte zu erwerben. Solche Informationen sind ein vorrangiges Ziel für kriminelle Gemeinschaften “, sagt er.
Zum Beispiel erlebte Sony 2011 den größten Cyberangriff zu dieser Zeit. Die Namen, Adressen, Geburtsdaten, E-Mail-Adressen und Registrierungsinformationen von ungefähr 77 Millionen Menschen aus verschiedenen Teilen der Welt wurden dem PSN gestohlen.
"Wenn ein Angreifer den Quellcode des Spiels ändern kann, kann er bösartigen Code in das Spiel einfügen, der den Benutzer bei einer Zahlung auf eine gefälschte Seite umleitet, um Kreditkarteninformationen einzugeben."
Im Jahr 2016 waren die meisten Angriffe finanziell motiviert. Am häufigsten waren DDoS-Angriffe, die den Server mit einem Strom künstlichen Datenverkehrs deaktivieren. Oft wurden solche Angriffe während der Schulferien begangen, als die sogenannten "Script-Kiddies" gelangweilt waren und einen kleinen Online-Kick geben wollten. Aber immer häufiger werden DDoS-Angriffe verwendet, um Lösegeld von Organisationen für deaktivierte Server zu erpressen.
"Für die Einnahmen von Unternehmen wie Sony oder Microsoft haben diese Arten von Angriffen katastrophale Auswirkungen", sagt Reindolds. „Viele Spiele verwenden ein Abonnementmodell oder gekaufte Inhalte. Daher kann der Ausfall von Servern sehr schnell zu einem enormen Gewinndefizit führen, da die Spieler keine Einkäufe tätigen können. Die Entwickler erleiden auch erhebliche Verluste, wenn sie Geld auf die Kreditkarten der Benutzer zurückzahlen: Die Spieler nutzen die Gelegenheit, ihr Geld zurückzugeben, weil sie keinen Zugang zu den Diensten erhalten, für die sie bezahlt haben. “
Vor nicht allzu langer Zeit erschien eine persönlichere Art von böswilligem Angriff auf Spieleentwickler. Im Jahr 2014 wurde Phil Fish, Gründer von Polytron und Schöpfer von Fez, ein Ziel für Hacker und Verfolger. Seine persönlichen Daten wurden veröffentlicht und die Server des Unternehmens wurden gehackt. Hacker stahlen und veröffentlichten E-Mails, Passwörter, Bankinformationen und andere Informationen über Fish und zwangen den kanadischen Entwickler, seinen Wohnort zu wechseln.
"Entwickler sollten ermutigt werden, Social-Media-Konten und Online-Foren auszublenden, damit so wenig wie möglich von ihren persönlichen Informationen öffentlich verfügbar ist", sagt Reynolds. "Je weniger Informationen die Öffentlichkeit über eine bestimmte Person
preisgibt ,
desto unwahrscheinlicher ist es, dass das Sammeln von Informationen aus offenen Quellen dem Angreifer nützliche Informationen
liefert , um den
Doxing- Angriff
fortzusetzen ." Für die Sicherheit von Spieleentwicklern sind die Zwei-Faktor-Authentifizierung und die Verwendung unterschiedlicher Kennwörter in unterschiedlichen Konten von entscheidender Bedeutung, insbesondere wenn sie den Verdacht haben, dass sie das Ziel eines Angriffs sein könnten.
Der Angriff auf Fish sollte zu einer Bedrohung werden und ihn erschrecken. Andere Entwickler,
beispielsweise Valve , werden dann gehackt, um exklusive Informationen über zukünftige Projekte zu erhalten. „Eine der größten Bedrohungen für Unternehmen sind heute clientseitige Exploits“, sagt Reynolds, der die Sicherheit von Unternehmensbüros häufig unabhängig testet.
Zum Beispiel drang er manchmal in Raucherzimmer von Organisationen ein, die in Form eines Kuriers gekleidet waren und eine große Kiste trugen. Die Berechnung basierte auf der Tatsache, dass jemand die Tür für ihn öffnen würde, um das Sicherheitssystem zu umgehen. Im Gebäude suchte Reynolds nach einem leeren Konferenzraum, um Zugang zum Netzwerk zu erhalten und die Windows-Domäne oder die umgebende Infrastruktur anzugreifen.
"Die bislang beliebteste Angriffsmethode sind böswillige Links oder Dateien in E-Mails, die es ermöglichen, den Sicherheitsbereich des Unternehmens zu durchbrechen und Zugriff auf das interne Netzwerk zu erhalten", sagt er.
„Ich habe in mehreren Studios gearbeitet, in denen ein ahnungsloser Mitarbeiter in einer E-Mail auf einen böswilligen Link geklickt hat, was zum Kompromiss seiner Workstation führte. Der Angreifer hat vollen Zugriff auf das vom Entwicklungsteam verwendete Code-Repository. “
Angriffe dieser Größenordnung wirken sich stark auf Softwareunternehmen aus. Die Arbeit von mehreren Monaten kann in Sekunden verloren gehen, wenn der Quellcode gestohlen und online veröffentlicht wird. Es besteht auch die Möglichkeit, dass der Angreifer schädlichen Code in den Quellcode des Spiels einfügt, der sich direkt auf den Endbenutzer auswirkt.
„In den meisten Fällen blockieren Virenschutzprogramme und manchmal das Betriebssystem selbst schädlichen Code auf dem Computer des Endbenutzers. Der in das Spiel eingefügte Code kann jedoch dazu führen, dass wichtige Informationen verloren gehen. Angriffe wie „Man-in-the-Middle“ sammeln wertvolle Daten für kriminelle Gemeinschaften. “
Trotz der Tatsache, dass immer mehr Unternehmen sich der Risiken bewusst sind, die organisierte Videospiel-Hacker und ihre Entwickler tragen, glaubt Griot, der auf beiden Seiten der Front stand, dass Betrüger und Diebe einen Vorteil haben. "Hacker gewinnen jetzt den Kampf", sagt er.
„Gaming-Unternehmen weigern sich, in Sicherheitstechnologien zu investieren. Es ist möglich, eine Situation zu vermeiden, in der Millionen von Dollar an Spielkosten durch einen billigen Bot oder Hack verschwendet werden. Die Entwickler von Online-Spielen müssen sich im Voraus um die Sicherheit kümmern und nicht ein paar Monate vor der Veröffentlichung des Spiels. "