Captcha-Code soll Steam-User künftig vor Malware schützen (Update)

0
Wer bei Steam handeln will, muss künftig einen Captcha-Code eingeben
Wer bei Steam handeln will, muss künftig einen Captcha-Code eingeben

Gegen die seit Wochen bei Steam grassierende Malware hat Valve jetzt eine Lösung gefunden und aktiviert. Künftig müssen Handelsanfragen durch einen Captcha-Code bestätigt werden.

Seit einigen Wochen verteilt sich bei Steam per Chat eine Malware, die einzig und allein darauf abzielt, das Inventar unvorsichtiger Steam-User zu leeren. Mit bislang sehr großem Erfolg. Immer wieder gibt es Meldungen von betroffenen Usern. Valve geriet deshalb mehr und mehr in Zugzwang.

Captcha-Code als Handelsschranke

Seit gestern hat Valve eine Lösung umgesetzt und die Steam Handelsanfragen mit einem der leidigen Captcha-Codes versehen. Bevor künftig ein Handel zwischen zwei Steam-Usern stattfinden kann, müssen beide Handelspartner erfolgreich einen verzerrten Code erkennen und diesen in das Handelsfenster eingeben. Damit will Valve verhindern, dass Bots in Form von Malware automatisiert Handelsanfragen durchführen und damit das Inventar der Steam-User innerhalb von wenigen Sekunden leerräumen können.

Grundsätzlich ist der Ansatz von Valve gut. Viele Möglichkeiten hat man ohnehin nicht, um die User vor Malware wie die als Bildschirmschoner getarnten Bots zu schützen. Das liegt am Angriffsvektor selbst. Die Steam-User fangen sich die Malware ein, weil sie auf einen Link klicken, sich aus dem Internet ein Programm herunterladen und dieses dann lokal auf ihrem Rechner ausführen. Das sind viele Schritte, die von User manuell durchgeführt werden. Valve müsste sich schon neben die User setzen und ihnen jedes Mal sagen, ob der Klick gerade ein gute Idee ist oder nicht.

Captcha-Codes sind nicht zuverlässig

Allerdings sind Captcha-Codes einfach kein zuverlässiges Mittel, um Bots zu erkennen. Software ist nämlich mittlerweile so ausgereift, dass sie einfache und sogar viele komplexe Captcha-Codes besser und eher erkennen können als ein Mensch. Damit setzt man also unter Umständen nur die Steam-User vor eine Hürde, nicht aber die Bots, die man eigentlich treffen will. Deshalb hat Google mit reCaptcha mittlerweile neue Maßnahmen erarbeitet. Es wird sich daher erst in den nächsten Wochen zeigen, ob Valves Maßnahme erfolgversprechend ist. Denn die Entwickler der Malware werden erstmal einige Zeit benötigen, um einen Weg um die die Captcha-Schranke herum zu finden.

Bei Valve weiß man sehr wohl, dass die Captcha-Codes nicht die ideale Lösung sind. So erklärte John Cook von Valve ganz offen, dass die Captcha-Codes durchaus ein Ärgernis sind und man das Handeln zwar nicht erschweren möchte. Der erwartete positive Nutzen dieser Lösung sei aber signifikant und könne verhindern, dass zum Download von Schadsoftware animierte Steam-User ihre Gegenstände verlieren.

Bots von Handelsdiensten sind außen vor

Mit der Umsetzung der Captcha-Codes haben User-Berichten nach aber laufende Handelsanfragen ihre Gültigkeit verloren und können nicht mehr angenommen werden. Sie müssen deshalb also erneut ausgehandelt werden. Immerhin hat man bei Valve daran gedacht, Handelsdienste von Drittanbietern von der Captcha-Sperre auszunehmen, so dass diese weiterhin automatisiert mit den Steam-Usern handeln können.

Update 11. Januar: Es gibt bereits erste Berichte, denen nach einige Schadprogramme den Captcha-Code bereits knacken und die Sperre somit umgehen können. Valves neu eingeführte Sicherheitsmaßnahme wäre damit also nach wenigen Stunden bereits verpufft. Entsprechend hat das Unternehmen jetzt reagiert und setzt auf Googles reCaptcha, das deutlich mehr Auswahlmöglichkeiten und Unterscheidungstests kennt. Anstatt einen grafisch verfremdeten Code einzugeben, müssen komplexere Aussagen verstanden und entsprechend reagiert werden.

Ab greift Valve auf Googles reCaptcha zurück, um Bots und Menschen zu unterscheiden
Ab greift Valve auf Googles reCaptcha zurück, um Bots und Menschen zu unterscheiden