Jeder kennt die klassischen Captcha-Tests auf Webseiten. Klicken Sie hier, um zu bestätigen, dass Sie kein Roboter sind. Wählen Sie alle Ampeln aus, alle Autos, alle Zebrastreifen und so weiter. Meistens sind diese Tests nur lästig, doch teilweise können sich dahinter auch Angriffsversuche von Hackern verbergen.
Davor warnen Sicherheitsexperten zumindest immer häufiger. Das Bundesamt Sicherheit in der Informationstechnik (kurz BSI) hatte bereits Anfang März vor gefährlichen Captcha-Anfragen gewarnt. Seit Neuestem gibt es auch Meldungen über eine Malware namens “Qakbot”, die eine noch gefährliche Variante des Captcha-Betrugs verwendet.
Wie funktioniert der Captcha-Betrug?
Hackangriffe mit Captchas sind deshalb so gefährlich, weil man sie als Nutzer aus reiner Gewohnheit erst einmal anklickt, wenn sie auf einer Webseite auftauchen. Von dieser intuitiven Reaktion machen Hacker jetzt auch Gebrauch und verwenden Pop-up-Meldungen, die einem echten Captcha-Test zum Verwechseln ähnlich sehen.
Nutzer werden auch hier aufgefordert, einen Kasten anzuklicken, um den Test zu lösen. Der Klick sorgt aber dafür, dass sie auf andere Seiten weitergeleitet werden. Weitere Handlungen sorgen dafür, dass gefährliche Protokolle in der Zwischenablage gespeichert werden. Das autorisiert die Angreifer dazu, Schadcode auszuführen.
In manchen Fällen fordern die Captchas sogar dazu auf, bestimmte Tastenkombinationen zu drücken, die direkt Windows Powershell aufrufen oder bestimmte Kommandos auf dem Gerät ausführen. Spätestens hier sollte aber jedem Nutzer auffallen, dass es sich nicht um eine normale Captcha-Anfrage handeln kann.
Lesetipp: Woher weiß ein Captcha, dass ich kein Roboter bin?
Angriff bleibt oft unbemerkt
Damit das Opfer den Angriff gar nicht bemerkt, wird jeder weitere Klick durch zusätzliche “Verifikationsanfragen” getarnt. Im schlimmsten Fall endet das mit der Ausführung eines Malware-Skripts, das den ganzen PC übernehmen kann.
Die Sicherheitsexperten von Dark Atlas bezeichnen den Angriff als “Clickfix Captcha” und warnen ausdrücklich davor. Captcha-Angriffe sollen eine höhere Erfolgsrate als andere Betrugsversuche aufweisen, da sie sich psychologischer Tricks bedienen. Der einzige Schutz davor ist es, aufmerksam zu bleiben, besonders wenn Sie unbekannte Webseiten besuchen. Und natürlich ein zuverlässiger Virenschutz, der im Ernstfall eingreifen kann.
Dass Captcha dazu genutzt werden, um Nutzerdaten abzugreifen, ist aber tatsächlich nichts Neues. Sogar offizielle Captcha-Anfragen, die von Unternehmen wie Google konzipiert werden, sammeln Informationen über Nutzer, ohne dass es ihnen direkt bewusst ist. Mehr dazu lesen Sie in unserer Meldung Captcha-Falle: Kein Schutz vor Bots, sondern versteckte Spyware.
