Gamer sehen sich derzeit einer neuen, groß angelegten Phishing-Kampagne gegen Steam-Accounts gegenüber. Sicherheitsanalysten des Unternehmens F6 identifizierten mindestens 20 betrügerische Webseiten, die sich als offizielle Plattformen von Steam oder Twitch ausgeben und angebliche Geschenkkarten im Wert von 5 bis 50 US-Dollar sowie „kostenlose Skins“ für populäre Spiele versprechen.
Steam-Phishing-Kampagne: Geschenkkarten und kostenlose Skins als Köder
Die Betreiber der Kampagne verbreiten ihre Fake-Seiten vor allem über YouTube, TikTok und andere Videoplattformen. In kurzen Clips demonstrieren sie Schritt für Schritt, wie Nutzer über angebliche Steam-Promotions an Geschenkkarten oder exklusive Items gelangen sollen. Die Links zu den Phishing-Seiten stehen in Profilbeschreibungen, in den Videos selbst oder werden über verknüpfte Telegram-Kanäle ausgespielt.
Nach Erkenntnissen von F6 folgen die meisten gefälschten Seiten einem einheitlichen technischen Template, variieren aber in der Story: „Winter-Geschenkemarathon“, Steam-Jubiläum, Sonderaktionen zur Neujahrs- oder Feiertagszeit. Optisch sind die Seiten so gestaltet, dass sie Erscheinungsbild, Typografie und Layout des offiziellen Steam-Webauftritts sehr genau imitieren und dadurch ein trügerisches Sicherheitsgefühl vermitteln.
Trick mit doppelter Adresszeile und visueller Domain-Spoofing-Technik
Ein zentrales Element des Angriffs ist eine manipulierte Darstellung der Browser-Adressleiste. In die Seite ist eine Grafik mit der Aufschrift steamcommunity.com eingebettet, die wie eine zweite Adresszeile wirkt. Auf dem Bildschirm entsteht so der Eindruck einer doppelten Adressleiste: Oben die echte URL des Browsers, darunter ein Teil des Seitenlayouts, der gezielt unaufmerksame Nutzer täuscht.
Sobald Nutzer auf diesen Fake-Seiten ihre Steam-Zugangsdaten eingeben, werden Login und Passwort unmittelbar an die Server der Angreifer übermittelt. Mit den erbeuteten Credentials übernehmen die Täter den Account, ändern Passwort und Wiederherstellungs-E-Mail und transferieren wertvolle In-Game-Gegenstände auf eigene Konten oder externe Handelsplattformen. Dieser Modus Operandi entspricht typischem Account-Takeover-Verhalten, wie es auch im Verizon Data Breach Investigations Report (DBIR) als Standardmuster bei Phishing-Fällen beschrieben wird.
Gefälschte Twitch-Drops für CS2 und Rust als zweite Angriffswelle
Parallel dazu nutzen die Angreifer ein zweites Szenario: Fake-Twitch-Drops für Counter-Strike 2 (CS2) und Rust. Nutzer sollen „exklusive Skins“ erhalten, wenn sie einen Stream ansehen oder einen Promocode auf einer speziell gestalteten Seite eingeben, die wie die Twitch-Oberfläche aussieht. Nach Eingabe des Codes erscheint ein Button „Mit Steam einloggen“ – der jedoch zu einer gefälschten Login-Seite statt zur echten Steam-Domain führt.
Besonders problematisch ist der Einsatz von einmalig gültigen URLs. Der Link funktioniert nur beim ersten Aufruf von einem bestimmten Gerät. Wird die Adresse erneut oder von einem anderen Gerät aus geöffnet, erscheint eine leere oder harmlose Seite. Laut Alexander Sapov, Senior Analyst der zweiten CERT-Linie im Bereich Digital Risk Protection bei F6, erschwert diese Technik die Arbeit von Aufsichtsbehörden und automatisierten Monitoring-Systemen erheblich, da der eigentliche Schadinhalt bei späteren Analysen oft nicht mehr sichtbar ist.
Nach Einschätzung von F6 werden diese Links direkt in Livestream-Chats zu CS2 und Rust platziert, getarnt als legitime Twitch-Drops. Zwar entfernt Twitch solche Nachrichten durch Moderation, jedoch mit einer kurzen zeitlichen Verzögerung. Dieses Zeitfenster reicht aus, damit ein Teil der Zuschauer auf die Links klickt und seine Steam-Zugangsdaten preisgibt. Auffällig ist dabei die klare Fokussierung auf russischsprachige Nutzer: Während das Grundlayout englisch ist, sind Login-Formulare, Hilfetexte und Fehlermeldungen vollständig auf Russisch lokalisiert.
Warum Steam-Accounts für Cyberkriminelle so wertvoll sind
Ein Steam-Account enthält neben Spielen und Erfolgen vor allem digitale Items und Skins – darunter Waffenskins, Cases, Sticker und andere Sammelobjekte. Auf einschlägigen Handelsplattformen erreichen seltene CS2- oder Rust-Skins Preise von mehreren Hundert bis mehreren Tausend US-Dollar. Entsprechend fokussieren sich Angreifer primär auf den Inventarwert, nicht auf die Spielebibliothek.
Nach der Übernahme eines Kontos werden hochwertige Items in der Regel automatisiert oder skriptgesteuert auf andere Accounts verschoben und anschließend über Drittanbieter-Marktplätze monetarisiert. Zusätzlich dienen kompromittierte Konten als Multiplikator für weitere Phishing-Angriffe: Über die Freundesliste werden Links beziehungsweise vermeintliche Gewinnaktionen an Kontakte versendet, die aufgrund des vertrauten Absenders deutlich eher darauf reagieren. Studien, etwa der Europäischen Agentur für Cybersicherheit (ENISA), zeigen, dass Social Engineering in vertrauten Kontexten die Erfolgswahrscheinlichkeit von Phishing erheblich steigert.
Domain-Infrastruktur, internationale Zonen und Grenzen der Gegenmaßnahmen
Ein Teil der von F6 identifizierten Phishing-Domains wurde unter der russischen Top-Level-Domain .RU registriert und inzwischen durch nationale Regulierungsbehörden blockiert. Ein signifikanter Anteil der Kampagneninfrastruktur befindet sich jedoch in anderen Domainzonen wie .PW, .CC, .COM, .PRO oder .WORLD. Solche international verteilten und teils weniger überwachten Zonen ermöglichen es Cyberkriminellen, Domains schnell zu rotieren und Sperrmaßnahmen zu umgehen.
Die Analysten von F6 betonen, dass zwar kontinuierlich an der Abschaltung neuer Phishing-Seiten gearbeitet wird, das Tempo der Neuregistrierungen die Reaktionsfähigkeit von Providern, CERTs und Behörden jedoch häufig übersteigt. Dieses „Katz-und-Maus-Spiel“ ist aus der globalen Phishing-Lage bekannt: Laut ENISA Threat Landscape zählen Phishing-Kampagnen seit Jahren zu den häufigsten Initialvektoren erfolgreicher Cyberangriffe, gerade weil Angreifer ihre Infrastruktur fortlaufend anpassen.
Für Gamer bedeutet dies, dass technische Gegenmaßnahmen und Domain-Sperren zwar wichtig, aber allein nicht ausreichend sind. Entscheidend ist eine hohe Sicherheitskompetenz der Nutzer: Steam-Login-Daten sollten niemals über Links aus Videobeschreibungen, Stream-Chats oder Messengern eingegeben werden. Stattdessen ist es sicherer, die Steam-URL steamcommunity.com manuell im Browser einzugeben oder den offiziellen Client zu nutzen und dabei stets die echte Adressleiste zu prüfen – nicht grafische Nachbildungen auf der Seite.
Darüber hinaus sollten Spieler zwingend Steam Guard (Zwei-Faktor-Authentifizierung) aktivieren, einzigartige und komplexe Passwörter für E-Mail und Steam verwenden und verdächtige Aktivitäten – etwa unerwartete Login-Benachrichtigungen, Inventarbewegungen oder Nachrichten an Freunde, die man nicht selbst gesendet hat – sofort an den Steam-Support melden. Wer Freunde und Mitspieler aktiv über aktuelle Betrugsmaschen informiert, reduziert nicht nur das eigene Risiko, sondern erschwert es Cyberkriminellen insgesamt, digitale Spielgegenstände in reale Gewinne zu verwandeln.
