Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1

Laut „Guardio’s Brand Phishing Report for Q1 2025“ ist die unter Gamern beliebte Vertriebs-Plattform „STEAM“ stark ins Vsiier Cyber-Krimineller geraten

[datensicherheit.de, 28.04.2025] Mitte April 2025 wurde ein neuer „Brand Phishing Report“ vorgestellt, welcher die beliebtesten Phishing-Angriffsziele Cyber-Krimineller im ersten Quartal 2025 zusammengetragen hat. „Das Ergebnis: Erstmalig ist die unter Gamern beliebte Vertriebs-Plattform ,STEAM’ auf dem ersten Platz gelandet – mit deutlichem Abstand vor Microsoft, Facebook/Meta, Roblox und SunPass“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Mit traditionellen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen…

Phishing-Angriffe und „Social Engineering“-Taktiken, um an „STEAM“-Konten von „Counter Strike“-Spielern zu gelangen

Bereits im vergangenen Jahr – 2024 – sei in zahlreichen Medien über den rasanten Anstieg von Phishing-Angriffen auf die Online-Gaming-Plattform berichtet worden – damals vor allem in Zusammenhang mit Angriffen auf die Spieler seines Topsellers „Counter Strike 2“. Krämer führt aus: „Der Grund: Auf dem Marktplatz von ,STEAM’ können Spieler mit den ,Skins’ von ,Counter Strike’-Waffen Handel treiben. Einige ,Skins’ sind selten, können dem richtigen Käufer leicht hundert oder auch tausend Euro wert sein.“

Eine lohnende Beute also für Cyber-Kriminelle! Um an die „STEAM“-Konten von „Counter Strike“-Spielern zu gelangen, setzten diese auf Phishing-Angriffe und „Social Engineering“-Taktiken. „Sie versandten Fake-,STEAM’-Einladungen zu einer Abstimmung über ,Counter Strike’-Teams – versehen mit einem Link. Klickten ihre Opfer auf diesen, gelangten sie zu einer als ,STEAM’-Website getarnten Phishing-Webseite, wo sie dann aufgefordert wurden, ihre ,STEAM’-Credentials einzugeben.“

Unternehmen sollten reagieren: Starke Anstieg der Phishing-Angriffe auf „STEAM“ kein rein privates Problem

Im vorliegenden Frühjahrsbericht 2025 zeige sich nun, dass in den vergangenen Monaten die Intensität der Angriffe nicht etwa nachgelassen habe – sondern sogar noch zugenommen. „Mittlerweile werden Nutzer kontaktiert, um sie vor angeblichen Kontoproblemen zu warnen. Eine Zahlung sei fehlgeschlagen, verdächtige Anmeldeversuche seien unternommen worden. Oder ihnen werden günstige Angebote unterbreitet. Sie hätten einen ,STEAM’-Gutschein gewonnen oder eine für sie vorgesehene ,STEAM’-Sonderaktion stehe unmittelbar bevor. Nur ein Klick, und ein Geschenk sei ihnen sicher.“ Das Ziel der Fake-,STEAM’-Nachrichten sei dabei immer dasselbe: „Die Opfer sollen einen Link anklicken, um dann auf einer angeblichen ,STEAM’-Website ihre Anmeldedaten einzugeben.“

Krämer warnt: „Nun ist der starke Anstieg der Phishing-Angriffe auf ,STEAM’ kein Problem, das Gamer allein beunruhigen sollte. Unternehmen sollte die stetige Zunahme von Angriffskampagnen auf Plattformen, die viele ihrer Mitarbeiter in ihrem Alltag nutzen, mindestens ebenso bedenklich stimmen!“ Schließlich ließen sich aktive Spieler doch mittlerweile in praktisch jeder Belegschaft finden.

„STEAM“-Kunden in der Belegschaft könnten Ansatzpunkt für Cyber-Angriffe werden

Häufig landen erbeutete Kontodaten aus Phishing-Kampagnen im sogenannten Darknet, werden an interessierte Cyber-Kriminelle weiterveräußert, denen sie dann als Ausgangspunkt für neue Phishing- und Social Engineering-Angriffe – nun vielleicht auf die Mitarbeiterkonten eines Unternehmens – dienen. „Entsprechend wichtig ist es, dass Arbeitgeber hier mehr tun, sich stärker proaktiv einschalten, die Anti-Phishing-Maßnahmen für ihre Belegschaft ausbauen!“

Krämer betont abschließend: „Mit traditionellen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen. Dazu ist die Anpassungsfähigkeit der Angreifer an die Strategien und Taktiken der Verteidiger mittlerweile einfach zu hoch.“ Man müsse strukturierter, umfassender und kontinuierlicher vorgehen. „Sie müssen die ,Human Risks’, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen!“

Weitere Informationen zum Thema:

Guardio, 03.04.2025
Steam Tops Q1 2025 Most Imitated Brands, Followed by Surge in Toll Pass Scams

datensicherheit.de, 22.01.2025
Gamer geraten ins Phishing-Fadenkreuz / Phishing-Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

datensicherheit.de, 19.08.2011
Cyber-Kriminelle nehmen Gamer mit 2,4 Millionen Schadprogrammen aufs Korn / Schwarzmarkt für Verkauf virtueller Spielgegenstände