Steam – beliebte Spieler-Plattform erstmals Phishing-Angriffsziel Nr. 1
17.04.2025
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Vor wenigen Tagen wurde ein neuer Brand Phishing-Report vorgestellt, der die beliebtesten Phishing-Angriffsziele von Cyberkriminellen für das erste Quartal 2025 zusammengetragen hat. Das Ergebnis: erstmalig ist die unter Gamern beliebte Vertriebs-Plattform Steam auf dem ersten Platz gelandet – mit deutlichem Abstand vor Microsoft, Facebook/Meta, Roblox und SunPass.
Bereits im vergangenen Jahr war in zahlreichen Medien über den rasanten Anstieg von Phishing-Angriffen auf die Online Gaming-Plattform berichtet worden – damals vor allem in Zusammenhang mit Angriffen auf die Spieler seines Topsellers Counter Strike 2. Der Grund: Auf dem Marktplatz von Steam können Spieler mit den Skins von Counter Strike-Waffen Handel treiben. Einige Skins sind selten, können dem richtigen Käufer leicht hundert oder auch tausend Euro wert sein. Eine lohnende Beute für Cyberkriminelle. Um an die Steam-Accounts von Counter Strike-Spielern zu gelangen, setzen sie auf Phishing-Angriffe und Social Engineering-Taktiken. Sie versandten Fake-Steam-Einladungen zu einer Abstimmung über Counter Strike-Teams – versehen mit einem Link. Klickten ihre Opfer auf diesen, gelangten sie zu einer als Steam-Website getarnten Phishing-Webseite, wo sie dann aufgefordert wurden, ihre Steam-Credentials einzugeben.
Im Frühjahrsbericht zeigt sich nun, in den vergangenen Monaten hat die Intensität der Angriffe nicht etwa nachgelassen, sondern sogar noch zugenommen. Mittlerweile werden Nutzer kontaktiert, um sie vor angeblichen Kontoproblemen zu warnen. Eine Zahlung sei fehlgeschlagen, verdächtige Anmeldeversuche seien unternommen worden. Oder ihnen werden günstige Angebote unterbreitet. Sie hätten einen Steam-Gutschein gewonnen oder eine für sie vorgesehene Steam-Sonderaktion stehe unmittelbar bevor. Nur ein Klick, und ein Geschenk sei ihnen sicher. Das Ziel der Fake-Steam-Nachrichten ist dabei immer dasselbe: die Opfer sollen einen Link anklicken, um dann auf einer angeblichen Steam-Website ihre Anmeldedaten einzugeben.
Nun ist der starke Anstieg der Phishing-Angriffe auf Steam kein Problem, das Gamer allein beunruhigen sollte. Unternehmen sollte die stetige Zunahme von Angriffskampagnen auf Plattformen, die viele ihrer Mitarbeiter in ihrem Alltag nutzen, mindestens ebenso bedenklich stimmen. Lassen sich aktive Gamer doch mittlerweile in praktisch jeder Belegschaft finden. Häufig landen erbeutete Kontodaten aus Phishing-Kampagnen im Darknet, werden an interessierte Kriminelle weiterveräußert, denen sie dann als Ausgangspunkt für neue Phishing- und Social Engineering-Angriffe – nun vielleicht auf die Mitarbeiterkonten eines Unternehmens – dienen. Entsprechend wichtig ist es, dass Arbeitgeber hier mehr tun, sich stärker proaktiv einschalten, die Anti-Phishing-Maßnahmen für ihre Belegschaft ausbauen.
Mit traditionellen Anti-Phishing- und Anti-Social Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen. Dazu ist die Anpassungsfähigkeit der Angreifer an die Strategien und Taktiken der Verteidiger mittlerweile einfach zu hoch. Sie müssen strukturierter, umfassender und kontinuierlicher vorgehen. Sie müssen die Human Risks, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen. Menschliche Risiken müssen, genau wie die technischen ja auch, durchgängig überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.
Technologisch betrachtet sind wir längst so weit. Phishing-Trainings, -Schulungen und -Testslassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abzuwehren – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihr Human Risk zurückzufahren.
Steam – beliebte Spieler-Plattform erstmals Phishing-Angriffsziel Nr. 1
17.04.2025
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Vor wenigen Tagen wurde ein neuer Brand Phishing-Report vorgestellt, der die beliebtesten Phishing-Angriffsziele von Cyberkriminellen für das erste Quartal 2025 zusammengetragen hat. Das Ergebnis: erstmalig ist die unter Gamern beliebte Vertriebs-Plattform Steam auf dem ersten Platz gelandet – mit deutlichem Abstand vor Microsoft, Facebook/Meta, Roblox und SunPass.
Bereits im vergangenen Jahr war in zahlreichen Medien über den rasanten Anstieg von Phishing-Angriffen auf die Online Gaming-Plattform berichtet worden – damals vor allem in Zusammenhang mit Angriffen auf die Spieler seines Topsellers Counter Strike 2. Der Grund: Auf dem Marktplatz von Steam können Spieler mit den Skins von Counter Strike-Waffen Handel treiben. Einige Skins sind selten, können dem richtigen Käufer leicht hundert oder auch tausend Euro wert sein. Eine lohnende Beute für Cyberkriminelle. Um an die Steam-Accounts von Counter Strike-Spielern zu gelangen, setzen sie auf Phishing-Angriffe und Social Engineering-Taktiken. Sie versandten Fake-Steam-Einladungen zu einer Abstimmung über Counter Strike-Teams – versehen mit einem Link. Klickten ihre Opfer auf diesen, gelangten sie zu einer als Steam-Website getarnten Phishing-Webseite, wo sie dann aufgefordert wurden, ihre Steam-Credentials einzugeben.
Im Frühjahrsbericht zeigt sich nun, in den vergangenen Monaten hat die Intensität der Angriffe nicht etwa nachgelassen, sondern sogar noch zugenommen. Mittlerweile werden Nutzer kontaktiert, um sie vor angeblichen Kontoproblemen zu warnen. Eine Zahlung sei fehlgeschlagen, verdächtige Anmeldeversuche seien unternommen worden. Oder ihnen werden günstige Angebote unterbreitet. Sie hätten einen Steam-Gutschein gewonnen oder eine für sie vorgesehene Steam-Sonderaktion stehe unmittelbar bevor. Nur ein Klick, und ein Geschenk sei ihnen sicher. Das Ziel der Fake-Steam-Nachrichten ist dabei immer dasselbe: die Opfer sollen einen Link anklicken, um dann auf einer angeblichen Steam-Website ihre Anmeldedaten einzugeben.
Nun ist der starke Anstieg der Phishing-Angriffe auf Steam kein Problem, das Gamer allein beunruhigen sollte. Unternehmen sollte die stetige Zunahme von Angriffskampagnen auf Plattformen, die viele ihrer Mitarbeiter in ihrem Alltag nutzen, mindestens ebenso bedenklich stimmen. Lassen sich aktive Gamer doch mittlerweile in praktisch jeder Belegschaft finden. Häufig landen erbeutete Kontodaten aus Phishing-Kampagnen im Darknet, werden an interessierte Kriminelle weiterveräußert, denen sie dann als Ausgangspunkt für neue Phishing- und Social Engineering-Angriffe – nun vielleicht auf die Mitarbeiterkonten eines Unternehmens – dienen. Entsprechend wichtig ist es, dass Arbeitgeber hier mehr tun, sich stärker proaktiv einschalten, die Anti-Phishing-Maßnahmen für ihre Belegschaft ausbauen.
Mit traditionellen Anti-Phishing- und Anti-Social Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen. Dazu ist die Anpassungsfähigkeit der Angreifer an die Strategien und Taktiken der Verteidiger mittlerweile einfach zu hoch. Sie müssen strukturierter, umfassender und kontinuierlicher vorgehen. Sie müssen die Human Risks, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen. Menschliche Risiken müssen, genau wie die technischen ja auch, durchgängig überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.
Technologisch betrachtet sind wir längst so weit. Phishing-Trainings, -Schulungen und -Testslassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abzuwehren – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihr Human Risk zurückzufahren.