Feierabend ! Und zur Entspannung ein paar Runden Formel 1 fahren, ein taktisches Manöver in X-COM planen oder den Verlauf der Menschheitsgeschichte in Civilization VI ändern. Schnell également dans le compte Steam und losgespielt. Über Sicherheit machte ich mir keine Gedanken. Klar, man liest öfter von Sicherheitslecks, Konto-Diebstahl und zwielichtigen Betrügereien — und wie man dem vorbeugen könne. Aber so nah mir meine Spielesammlung nach dem Feierabend war, so weit weg waren die Gedanken daran, dass mich eines Tages ein solcher Diebstahl treffen könnte.
Bis zu diesem Tag, an dem es auch mich erwischte — und ein Drama in fünf Akten begann.
Weil viele von euch sind auf der Suche nach einer schnellen Antwort oder haben Fragen zu einem bestimmten Detail. Wir empfehlen euch, den Artikel durchzulesen. Zum einen, weil ihr dadurch erfahrt, was geschehen ist und aktuell passiert. Zum anderen, weil ihr dann zu einer Lösung gelangt, die künftigen Möchtergern-Hijackern die Tour vermasselt.
Wollt ihr dennoch nicht alles lesen, klickt euch direkt zum jeweiligen Kapitel :
Contents
1. Akt : Sicherheit ist groß geschrieben ? Klar, aber nicht immer.
Accès par e-mail, compte Google, accès Facebook ou services bancaires en ligne. Alle wichtigen Logins im Internet habe ich mir vor Ewigkeiten mit der Zwei-Faktor-Authentifizierung gesichert. Suivant : Neben dem eigentlichen Passwort verlangt der Betreiber noch eine weitere Ziffern- und Buchstabeneingabe, um « reinzukommen ». Was ich nicht sicherte, das war mein Steam Account.
Falls ihr Steam n’est pas disponible : Das ist eine Plattform, auf der Nutzer votre enregistrement de jeux PC, verwalten und runterladen. Austausch mit Freunden und Spielern aus aller Welt wickelt ein interner Messenger ab, in einem virtuellen Inventar bunkert ihr kosmetische Gegenstände und Spiele, die ihr verschenken, tauschen oder verkaufen könnt.
Wie ihr die Zwei-Faktor-Authentifizierung
Zeitgemäße Nutzersicherheit beginnt im Netz mit der Zwei-Faktor-Authentifizierung. Die stellen zusätzliche Apps und Telefonnummernverknüpfungen sicher. Neben Logindaten erhaltet ihr un mot de passe temporaire ou un code de connexion spécial.
https://youtu.be/17rykTIX_HY
Empfehlenswert est l’authentificateur Google pour Android et — Mise à jour — Apple iOS. Diese App Deckt viele gängige Dienste ab. Manche Dienste comme Blizzards Battle.net (Google Play | Apple iOS) ou encore Steam (Google Play | Apple iOS) est réglé sur une bonne solution.
Meist sind die Authentifikator-Optionen in den Sicherheitseinstellungen eurer Anbieter zu finden. Zur Not bemüht ihr die FAQ-Sektion. Einmal eingeschaltet, braucht ihr immer zwei Schlüssel. Das mag weniger komfortabel sein als der flotte Connexion, Steigert aber die Sicherheit.
2. Akt : Schwupps, weg !
Rückblickend gesehen war es er die Zwei-Faktor-Authentifizierung zu sichern. Inhaber Valve empfiehlt die ausdrücklich. Aus guten Gründen. Die Plattform geriet in den vergangenen Jahren öfter mit der gleichen Meldung in die Schlagzeilen : Nutzerdaten und Logins entwendet. Der Betreiber wälzt die Verantwortung auf die Nutzer ab. Wer sich nicht vor Missbrauch schützt — so der Tenor — ist selber Schuld.
Nüchtern betrachtet, war mein Account eine echte Zocker-Schatzkammer. Etwas mehr als 1.000 Spiele (viele davon über Pressearbeit erhalten), ein proppenvolles Inventar mit kosmetischen Gegenständen und zwei Dutzend Games zum Verschenken.
Und dann Kam Eben Jener Dienstag. Von einen auf den anderen Moment konnte ich mich nicht mehr einloggen. Un mot de passe ? Falsch. Eine Minute später war der Nutzername geändert. Verdammt.
Wie die Diebe | Comptes | Stehlen
Vorbei sind die Zeiten, in denen Datendiebe nach dem Erbeuten einer Email-Adresse automatisiert hunderte von Passwörtern ausprobieren, um sich Zugriff zu verschaffen. Mittlerweile setzen sie auf kleine Tools, die Tastenanschläge ausspionieren ou Datenbankserver angreifen.
Bei all den Datenbank-Hacks kann man schon mal den Überblick verlieren. Wollt ihr wissen, ob jemand eure Mail-Adresse erbeutete, ist haveibeenpwned die erste Adresse.
Es gibt eine Reihe weiterer Möglichkeiten, die wir hier nicht vertiefen wollen. Was ihr tun könnt, um euch (nachträglich) abzusichern, sind regelmäßige Besuche von Seiten wie haveibeenpwned. Dort gebt ihr eure Adresse e-mail (n) ein und erhaltet sofort eine Rückmeldung, ob und wann zuletzt Passwörter über Datenbank-Attacken abgegriffen worden sein könnten.
3. Akt : Amis dans le Not
Dass ein Login mal ne fonctionne pas, war mir nicht neu. Es konnte durchaus vorkommen, dass Steam Probleme mit der Nutzerverwaltung hatte. Dass etwas im Argen lag, erfuhr ich nur Minuten später. Beim Passwort-Reset zeigte Steam an, comme une adresse e-mail russe en arrière gauche.
Kurz darauf meldete sich ein Freund und fragte, seit wann ich denn Counter-Strike spielen würde. Zur Erklärung : Das Spiel ist Bestandteil meiner Bibliothek, aber ich mag es nicht sonderlich. Das wusste er und konnte deshalb reagieren.
Mais, aussi en ligne Friends zu haben. Neuer Accountname und veränderter Profil-Link waren erste Spuren zum Dieb.
Er fragte außerdem, wieso ich meinen Steam-Namen änderte und fügte einen Capture d’écran ici. Er bestätigte, was ich bereits befürchtete : Der Account war weg. Immerhin kannte ich « meinen » nouveau nom. Der Steam-Dieb Bekam premier Konturen. Er verpasste sich einen fancy Namen, klatschte sich die Zahl 225 ans Ende. Über seinen Profileintrag ließ er wissen, dass er aus Russland käme. Es waren Flüchtige Fehler — und nicht seine letzten.
Vernetzung ist alles
Mit Hinblick auf Steam ist es gut, Amis de Zu notfalls darüber informieren, wie euer alter Compte neuerdings heißt und was der Hijacker damit anstellt. Dans cette guerre d’automne die Information eines Friends Gold wert. Dieser gab mir mit der ungewöhnlichen Spiele-Aktivität und der Namensänderung zwei wichtige Informationen an die Hand.
4. Akt : Der lange Weg zurück zum Compte
Da der Hijacker das Profil auf « öffentlich » beließ, waren seine nächsten Schritte gut nachvollziehbar. Er hatte den Namen geändert und der Reihe nach die Freundesliste geleert, sowie einige Kommentare zu Spielen gelöscht. Ein Vorgehen, von dem man häufiger liest, denn dem Hijacker geht es zunächst darum, alle Verbindungen zum vorherigen Account-Leben zu kappen.
D’
autres Muster hingegen waren und sind mir unverständlich. Alors startete er parallel bis zu zehn (!) Spiele und zockte diese für je ein bis zwei Stunden. Danach waren autre titre an der Reihe.
Nach einem halben Tag füllte er die Freundesliste neu. Und zwar mit jemandem, der dieselbe Zahl (die erwähnte 225) trug und dessen Profil ebenfalls auf « öffentlich » stand. Ein kurzer Blick in dessen Spieleliste zeigte, dass eben dieser Account Spiele aus meinem Inventar bekam. Meine Freundesliste kannte ich zum Glück auswendig ; ich konnte sie in einem Textdokument niederschreiben.
« Willkommen » dans la boucle. Steams Support Seite ist leider wenig nutzerfreundlich.
Es war höchste Zeit, mon compte zurückzuholen. Steams Support ist unter Spielern berüchtigt, weil viele Wege in Sackgassen münden. Und auch bei mir fühlte es sich zunächst wie eine Zeitschleife an. Plattformbetreiber Valve fragte, warum ich mich nicht einloggen konnte. Egal, welche Antwort ich anklickte, irgendwie endete es im Nichts. Erst im Netz wurde ich fündig und fand eine Schritt-für-Schritt-anleitung, um letztlich beim Support zu landen. Dann ging es ans Ausfüllen der einzelnen Felder.
Wie ihr zum korrekten Formulaire de support sur Steam kommt
Der Kontaktweg zum Steam Support est disponible. Geht zunächst über diesen Link und gebt in das obere Feld euren Accountnamen oder die Email-Adresse ein. Löst das Captcha et cliquez sur « plus ». Sofort erscheint eine Fehlernachricht, dass ihr euch nicht mehr einloggen könnt. Cliquez dann auf « Passwort vergessen » und schon seid ihr auf dem eigentlichen Hilfsformular.
Ihr könnt eure Adresse nicht mehr nutzen ? Versucht die Eingabe eures Accountnamens. Fruchtet das nicht, cliquez ici sur « Passwort vergessen » und landet letztlich im Support Formular. Zwischenziel Erreicht !
Was Steam dann abfragt, erschlägt euch auf den ersten Blick. Sammelt die Informationen am besten vorab und gebt sie dann in einem Vorgang ein.
Grundlegende Informationen (Notwendig) :
- La première adresse e-mail, avec son compte euren erlegt habt.
Um Spielekäufe zu belegen (nicht notwendig, aber hilfreich) :
- Den Namen eures Paypal-Accounts
- Eine PayPal Rechnungsnummer (mit 17 Stellen)
- Die mit PayPal Verknüpfte Email-Adresse
Zusätzliche, optionale Informations :
- Nennt einen numérique (!) erworbenen Steam-Code, den ihr irgendwann registriert habt
- Beschreibt, was mit eurem Account passiert ist.
- Hängt eine Bilddatei an. In dieser muss der Code eines im Einzelhandel (!) erworbenen Spieles abfotografiert sein. Unter den Steam-Key schreibt ihr die euch zugewiesene Ticketnummer.
Identification Eindeutige
Was Steam hier verlangt, sind doppelt und dreifach Belege dafür, dass der Account euch gehört. Das mag zunächst lästig erscheinen, sichert euch aber gegen Retourkutschen ab.
Und ehrlich : Mir half es, den Puls zu senken. Denn die Nachweise bekam ich mit etwas Rechercher tous les zusammen. Dann Hieß es, Abzuwarten. Drückt der Schuh und werdet ihr ungeduldig, könnt ihr, wie ich, einen Blick auf die Support Statistik werfen. Er zeigt euch, wie lange eine Anfrage durchschnittlich braucht.
Die Wartezeit nutzte ich und notierte, was der Dieb mit meinem Konto veranstaltete. Welche Spiele er zockte, ob er neue Freunde hinzufügte, das Inventar lehrte.
Dann, nach knapp zwei Tagen, kam die erlösende Email.
Der Support meldete sich und teilte mit, dass der gestohlene Steam-Account mir gehöre und dem Hijacker entzogen sei. Eine zweite Nachricht mit einem temporären Passwort komme sofort. Nach der Re-Aktivierung solle ich unbedingt die Zwei-Faktor Authentification über Steam Guard einrichten. Das Musste Man Mir Nicht Zweimal Sagen.
Die erlösende Nachricht ! Das Konto ist wieder mein und die Zwei-Faktor-Authentifizierung flugs eingerichtet.
Bringt es etwas, viele Support-Anfragen bei Steam zu stellen ?
Immer wieder stoßen wir in den Kommentaren auf die Fragen, ob es sinnvoll sei, mehrere Support-Anfragen zu stellen. Die klare Antwort : Nein. Belasst es bei genau einer Anfrage, zu der euch Steam eine Ticket Nummer gibt. Denn auch wenn der erste Versuch « abgeschmettert » scheint, ist noch nicht alles verloren.
Sollte die Mitarbeiterin oder der Mitarbeiter des Supports Zweifel haben, dass euch der Account gehört, fragt nach, welche anderen Belege ihr einreichen könnt, um die Zweifel zu zerstreuen.
Viele Anfragen zu stellen, bringt euch jedoch nicht weiter.
5. Akt : Das Dreiste Nachspiel
Nach dem Login dauerte es keine Minute, ehe ich eine Nachricht des Hijackers auf Russisch bekam. Ich solle ihm seinen Compte Wiedergeben, herrschte er mich an. Da sei meiner, entgegnete ich. Daraufhin schmiss er nicht nur mit Beleidigungen um sich, sondern auch noch mit h an den Steam Support wenden ! Dem konnte ich zum Glück nun gelassen entgegensehen, denn ich hatte ja mehrere stichhaltige Beweise vorgelegt und mittlerweile auch Steam auf meiner Seite.
Während ich seine Verbindungen nach und nach kappte, schrieb er munter weiter. Ich könne doch meinen Klarnamen nennen, dann könne man sich über Social Media austauschen und über den Account verhandeln. Und hey, euh Geld dafür ausgegeben. Als das War Mir Herzlich Egal. Seine Intention offenbar : Weitere Informationen über mich sammeln und mein Konto weiter verfolgen.
Ich löschte die Alias-History (die festhält, unter welchen Namen ich früher spielte), nahm seine Freunde von der Liste und teilte ihm mit, dass es vorbei sei. Ich bannte und blockierte ihn, setzte den Namen zurück und begann, meine Freunde erneut einzuladen.
Das Nachspiel war damit nicht noch nicht beendet. Schließlich hatte er das Spiele-Inventar geplündert. Ich kontaktierte Steam einmal mehr und bat, mir die zu Unrecht entwendeten Titel wiederzugeben. Anders als bei kosmetischen Artikeln und Virtuellen Sammelkarten ist die Policy hier eindeutig.
Vapeur Unterband das Schlimmste
Da er den Authenticator einsetzte, war es ihm nicht möglich, die Inventargegenstände zu versilbern. Bei jeder Neuanmeldung oder Änderung der Zwei-Faktor-Authentifizierung greift eine 15-tägige Sperre, innerhalb derer der Haendel ausgesetzt ist.
600 Spielstunden in zwei Tagen ? Skurril.
Ich bekam alles wieder, verlor keinen einzigen Gegenstand, und der Dieb stand mit nichts da. Géhabt Glück !
Eine letzte Kuriosität : Steam summiert die Spieldauer der letzten 14 jours. Der Hijacker startete bis zu zehn Spiele gleichzeitig. So kam er binnen zwei Tagen » Besatzungszeit « auf mehr als 600 Spielstunden. Dabei haben zwei Wochen nur 336 Stunden. Ob der Spieleflut schaltete er keinen einzigen Erfolg frei. Ob er die Übernahme genießen konnte ? Das Bezweifle ich.
Die Lehren, die ich aus dem Debakel um meinen gestohlenen Steam Account zog, könnten kaum weiter reichen. Nun sicherte ich auch meinen letzten Account ab, und sei er noch so unbedeutend. Außerdem schwor ich mir, künftig öfter im Netz zu schauen, in welchem Umfang Diebe Daten absaugen und ob eine meiner Adressen davon betroffen ist.
Und genau das würde ich euch auch raten !
