Terwijl miljoenen spelers in een onlinegame als World of Warcraft of Call of Duty: Black Ops 2 vechten tegen virtuele draken of vijandige troepen, schuilt het echte gevaar achter de schermen: computer-criminelen hebben hun zinnen gezet op onlinegames, omdat daar – net als bij onlinebanking – geld te rapen valt.

Een paar maanden geleden was het boel in de bekende onlinegame World of Warcraft. Een handvol personages sloeg er de hand aan iedereen die bepaalde steden in het spel aandeed, met de dood van al die personages tot gevolg. Een onaangekondigd event van de mensen bij Blizzard? Natuurlijk niet: de makers van de game hadden met een bende hackers te maken, die de programmatuur van de software op de WoW-servers zo hadden aangepast dat ze alles op hun pad konden vernietigen. Puur voor de lol. Maar er zijn ernstigere voorbeelden van inbraken op online gamingdiensten: in 2011 sloegen booswichten van hackergroep Anonymous ook al toe op het PlayStation Network, een onlinegamingdienst waarop de gameconsoles van technologie- en mediabedrijf Sony draaien. De dienst ging toen vijf weken uit, en miljoenen spelers hun gegevens werden gestolen.

Hackers in onlinegames: ze bestaan dus. En ze hebben tal van drijfveren om toe te slaan. Breek er Stephan Payer de bek niet over open: hij is managing director bij Cipsoft, een Duits gamebedrijf dat sinds 1997 Tibia exploiteert, een van de allereerste massive multiplayer online-games, of spellen met een virtuele wereld waarin tienduizenden tot miljoenen spelers tegelijkertijd rondlopen. Gedurende de vijftien jaar dat Tibia bestaat, heeft Payers bedrijf al tal van hackeraanvallen moeten afslaan. “Soms gaat het gewoon om spelers die zichzelf onrechtmatig in het voordeel willen brengen”, zegt Payer. “Soms zijn het verbolgen spelers die, misschien omdat ze iets te vaak hun strijd hadden verloren, wraak wilden nemen op ons. Soms doen ze het voor de technische uitdaging. Maar het overgrote merendeel doet het maar omwille van één reden: geld.”

Georganiseerde misdaad

Net als bij andere wingewesten, zoals onlinebanking, kwamen onlinegames op de radar van de georganiseerde misdaad. Er wordt nu al geschat dat cybercriminaliteit een even grote clandestiene industrie is als de internationale drughandel, en de waarde daarvan wordt begroot op 280 miljard euro. Het viel dus ook te verwachten dat ook onlinegaming, waarmee vandaag een hoop geld gemoeid gaat in abonnementsgelden en de verkoop van virtuele items, een veeg uit de pan zou krijgen. “Als je het vanuit technisch oogpunt bekijkt, is een onlinegame gewoon een internetdienst, net als webbanking”, zegt Jochem Binst, communicatiedirecteur bij het Wemmelse Vasco Data Security, een bedrijf dat authenticatiediensten levert voor gamebedrijven als Blizzard Entertainment, Bioware, Sony en Konami. “Onlinegames vervullen twee voorwaarden die ze erg interessant maken voor computercriminelen: ze hebben accounts, en er gebeuren transacties op. De afgelopen drie jaar hebben we de hackeractiviteit op onlinegames gevoelig zien stijgen. Vooral omdat de banken toen hun beveiligingsinspanningen hebben opgevoerd, en de criminelen dus noodgedwongen op zoek moesten gaan naar andere terreinen.”

Onlinegames als World of Warcraft en Star Wars: The Old Republic, twee games waaraan Vasco via zijn Digipass een extra authenticatie levert voor spelers die dat willen, werken met een virtuele economie, die soms links vertoont met de echte. Volgens Kaspersky Security, een Russisch computerbeveiligingsbedrijf, wordt er alleen al op veilingsite eBay voor 1,68 miljoen euro per jaar aan goudstukken voor World of Warcraft verkocht, en gaan er voor 11,5 miljoen euro per jaar volledige World of Warcraft-accounts naar een andere eigenaar. “We kunnen niet precies zeggen hoeveel, maar een deel daarvan is clandestien”, zegt Christian Funk, een beveiligingsadviseur bij Kaskersky die zich verdiept heeft in het beveiligen van onlinegames op niveau van de eindgebruiker. “Een speleraccount met een hoge level, of met heel wat kostbare items als zwaarden en dergelijke, dat is erg gegeerd. Mensen zijn bereid om daar goed geld – écht geld, geen virtuele World of Warcraft-munten – voor neer te tellen.”

Een andere techniek is het hacken van persoonlijke accounts van spelers, en die hun onlinepersonages vervolgens uit te kleden: alle wapens, har-nassen en andere waardevolle spullen worden weggenomen, en verkocht. “Alle waardevolle spullen worden ontvreemd, en vervolgens verkocht op een van de talloze zwarte markten die je in de duisterste krochten van het internet vindt”, zegt Stefan Wesche, een deskundige op gebied van onlinegamingcriminaliteit bij het Amerikaanse beveiligingsbedrijf Symantec. “De items in kwestie gaan voor redelijk wat geld, omdat ze vaak een grote waarde hebben bij spelers die niet de moeite willen doen om ze zelf te verdienen in de game. Zo’n actie duurt maar eventjes, en de speler krijgt daarna meestal zijn personage helemaal uitgekleed weer terug.”

Inloggegevens

En dan zijn er de volledige accounts op online gamingdiensten als Steam en Origin, waarop meer en meer gamers die op hun pc spelen hun games kopen en hun virtuele collectie ook beheren. De gedownloade games hangen vast aan het account, dat met een simpele gebruikersnaam en wachtwoord is beveiligd. Wie die heeft, kan de spellen in kwestie ook opnieuw downloaden op een nieuwe pc. Een computercrimineel die iemands inloggegevens steelt, hoeft ze simpelweg te veranderen zodat de originele eigenaar er niet meer aankan: daarna zijn ze klaar voor verkoop. “Daar is zelfs relatief veel vraag naar”, zegt Wesche. “Zo’n gestolen account kost iets van 50 euro in het clandestiene circuit, maar daar krijgt de nieuwe eigenaar dikwijls wel voor 500 euro aan games voor.”

Soms gaat het ook helemaal niet om de games zelf, maar om de inloggegevens van de speler: die kunnen vervolgens worden gebruikt om in te breken op andere diensten die de speler gebruikt, zoals webbanking of het vpn-systeem van het bedrijf waarvoor hij werkt. “Het is een cliché als een koe, maar veel te veel mensen gebruiken drie verschillende wachtwoorden voor wel dertig verschillende onlineportalen”, zegt Funk. “Dat weten hackers ook.”

Ook de methodes die de booswichten hanteren, zijn nagenoeg dezelfde als bij inbraken op webbanking- en andere diensten. Een nog steeds erg populaire methode is phishing, waarbij de hackers zich voordoen als de eigenaars van de game om aan de inloggegevens van de speler te geraken. Dat kan via een vervalste mail, maar er zijn ook al phishings bekend waarbij de speler werd benaderd via een door de hackers bestuurd personage. “Meestal zijn dat geautomatiseerde bots, die lukraak wat spelers aanspreken via een vooraf gescripte conversatie”, zegt Payer. “Dat lijkt doorzichtig, maar sommigen gaan zo ver dat ze bij een speler die argwaan krijgt of bij een controle door iemand van de game-uitgever een sms sturen naar een van de hackers, zodat die tijdig achter zijn computer kan gaan zitten om de situatie op te lossen.”

Een andere techniek is inbreken via de klassieke trojan-virussen, waarmee het programma waarmee de speler toegang krijgt tot de game wordt gehackt. Er zijn zelfs al trojanen in het wild die speciaal gericht zijn op onlinegames, zoals Magania: een virus dat in 2011 onder meer woedde op de pc’s van World of Warcraft-spelers.

Emotionele band

Een aantal gamebedrijven doet ondertussen zijn best om spelers ertoe aan te zetten om hun account zo goed mogelijk te beveiligen. Blizzard Entertainment, de uitgever van World of Warcraft en Diablo III, heeft bijvoorbeeld een ‘branded’ digipass van Vasco ter beschikking van spelers die een iets beter beveiligde account willen, met het logo of een afbeelding uit een van zijn games erop. Maar ook de spelers zelf ondernemen meer en meer actie, zegt Binst. “We merken zelfs dat spelers van onlinegames meer begaan zijn met het authenticeren van hun account dan webbankingklanten. Tot 25 procent van de fanatieke spelers in onlinegames vraagt speciaal om een extra authenticatie. Ze hebben dan ook een speciale, bijna emotionele band met hun account: het is iets waaraan ze een goed deel van hun dag besteden, dus dat is een waardevol bezit.”

Ronald Meeus