Den Forschern ist es gelungen, einen Link zu manipulieren, der zum Login-Bereich von Fortnite führt. Der Link kommt scheinbar von dem Entwickler des Spiels, von der Firma Epic Games. Das lässt ihn vertrauenswürdig erscheinen, doch dahinter könnte sich in Wahrheit ein Angreifer verstecken. "Niemand wird dahinter eine Betrugsseite vermuten, jeder wird den Link anklicken", sagt IT-Sicherheitsforscher Oded Vanunu. Wer hereinfällt und sich anschließend über die sogenannte Single-Sign-on-Funktion (SSO) einloggt, also beispielsweise sein mit Fortnite verknüpftes Facebook-Konto dafür nutzt, wird auf eine bösartige Internetseite umgeleitet. Dort greifen die Betrüger den Verifizierungscode ab, den Facebook an Epic Games schickt. Sie brauchen also nicht einmal das Passwort des Opfers. Mit dem Verifizierungscode haben sie Zugang zu seinem Fortnite-Account. Hat der Spieler dort Bezahldaten hinterlegt, können die Angreifer auf seine Kosten in Fortnite Geld ausgeben.

Kinder und Jugendliche sind besonders anfällig für dubiose Lockangebote

Ob diese Methode so in der Praxis angewendet wurde, weiß Vanunu nicht. Aber er weiß, dass mehrere Sicherheitslücken in der digitalen Infrastruktur von Epic Games diese Methode bis Ende Dezember möglich machten. Angreifer hätten die Lücken ausnutzen können, um so potenziell Millionen von Fortnite-Accounts zu übernehmen, sagt Vanunu. Das beschreibt er in einem an diesem Mittwoch veröffentlichten Bericht des israelischen IT-Sicherheitsdienstleisters Check Point ausführlich.

Mittlerweile hat Entwickler Epic Games die entsprechenden Sicherheitslücken geschlossen. In einem Statement des Unternehmens heißt es: "Wir wurden auf die Schwachstellen hingewiesen und sind diese bald angegangen." Doch Vanunu und sein Team wollen, dass die Spieler erfahren, vor welchem Unheil die Sicherheitsfirma sie mutmaßlich bewahrt hat.

Fortnite ist derzeit das beliebteste Computerspiel: Nach Angaben des Herstellers gibt es mehr als 200 Millionen Fortnite-Accounts weltweit, 80 Millionen Menschen spielen jeden Monat. "Du kannst dich dort mit anderen Spielern verbinden, chatten, und so weiter", sagt Vanunu. Fortnite sei aus Sicht der Sicherheitsforscher vergleichbar mit Twitter, Facebook oder Instagram.

Einmal in einem fremden Account, können die Betrüger mit den Freunden des ursprünglichen Besitzers chatten, sie bei Gesprächen belauschen und möglicherweise weitere persönliche Daten abgreifen. Sie können die Zugangsdaten des Accounts ändern und sie können hinterlegte Kreditkarteninformationen missbrauchen. Gerade Letzteres ist offenbar besonders interessant für Online-Betrüger. Fortnite an sich ist zwar kostenlos, aber Spieler können echtes Geld gegen eine virtuelle Währung im Spiel tauschen. Mit dieser Währung wiederum - genannt V-Bucks - kaufen sie digitale Gegenstände, ein Hasenkostüm für ihre Spielfigur etwa oder einen der virtuellen Freudentänze. In der Gemeinschaft der Spieler gelten diese Gegenstände als Statussymbole, viele geben dafür Geld aus.

Nutzer sollten ihre Konten mit guten Passwörtern und sicheren Verfahren schützen

Kinder sind deshalb besonders anfällig für Lockangebote, bei denen es vermeintlich kostenlose V-Bucks gibt. Wenn man die virtuelle Fortnite-Währung im Internet sucht, werden dem Nutzer entsprechende Autovervollständigungen vorgeschlagen. In der Regel führt das Nutzer auf Internetseiten, die kostenlose V-Bucks versprechen, wenn man seinen Fortnite-Nutzernamen und die gewünschte Menge eingibt. Ein Klick auf den Button scheitert dann vorgeblich. Der Nutzer wird aufgefordert, persönliche Daten einzugeben, etwa eine Handynummer. Am Ende bekommt er trotzdem nicht die erhofften Gratis-V-Bucks, sondern schließt beispielsweise ein teures Abo ab und hat sensible Daten preisgegeben. Eine ähnliche Masche, sagt Sicherheitsforscher Vanunu, hätten Angreifer auch nutzen können, um Ahnungslose dazu zu bringen, auf den manipulierten Login-Link der Forscher zu klicken.

Ist ein Account erst einmal übernommen, können die Betrüger mit der hinterlegten Kreditkarte digitale Gegenstände wie Kostüme kaufen. Auf Ebay oder anderen Drittplattformen werden diese Gegenstände oder ganze Accounts gegen echtes Geld verscherbelt. Das verstößt gegen die Nutzungsbedingungen von Fortnite, Betrüger stört das nicht. Den Schaden hat meist der Angegriffene. Ein Epic-Games-Sprecher teilt dazu mit: "Wir nehmen diese Probleme ernst, da Rückbuchungen und Betrug unsere Spieler und unser Unternehmen in Gefahr bringen."

Für Fortnite-Gegenstände gibt es inzwischen einen florierenden Schwarzmarkt. Wie das israelische IT-Sicherheitsunternehmen Sixgill herausgefunden hat, sollen auf Ebay mit dem Verkauf von Fortnite-Gegenständen 2018 innerhalb von zwei Monaten 250 000 US-Dollar umgesetzt worden sein. Das berichtet die britische Tageszeitung The Independent. Im Darknet werden auch V-Bucks, also die Spielwährung, verbilligt angeboten. Bezahlt wird dort häufig mit Kryptowährungen wie Bitcoin, solche Zahlungen können weitgehend anonym vollzogen werden. Die US-Sicherheitsfirma Zerofox hat allein im Zeitraum zwischen Anfang September und Anfang Oktober 2018 mehr als 53 000 Betrugsfälle gesammelt, die im Zusammenhang mit Fortnite stehen.

Die Lücke, die das Sicherheitsunternehmen Check Point in seinem Bericht aufzeigt, ist zwar inzwischen geschlossen. Trotzdem wird Fortnite aufgrund seiner Beliebtheit weiterhin eines der wichtigsten Angriffsziele für Betrüger bleiben. Epic Games empfiehlt seinen Spielern daher, die Accounts mit starken Passwörtern zu schützen, keine Passwörter mehrfach zu verwenden und die Anmeldeinformationen nicht mit anderen zu teilen. Im Fall dieser Sicherheitslücken hätte das freilich nicht viel gebracht. Schließlich mussten die Angreifer keine Anmeldedaten wissen, um in den fremden Account zu gelangen.

Sicherheitsforscher Vanunu empfiehlt Nutzern und Eltern daher, für den Fortnite-Account die sogenannte Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Loggt sich ein Spieler ins Spiel ein, muss er seine Anmeldung auf einem zweiten Gerät wie dem Handy oder per E-Mail bestätigen.