So entgehst du den fiesen Maschen der Messenger-Betrüger
2:21
Experte für Cybersicherheit:So entgehst du den fiesen Maschen der Messenger-Betrüger

Behörden warnen vor neuer Masche
«Ich bin kein Roboter» – so landest du nicht in der Captcha-Falle

Der Robotertest wird zur Falle: Eine neue Betrugsmasche tarnt Schadsoftware als Captchas. Ein falscher Klick – und Kriminelle haben Zugriff auf Passwörter, Bankdaten und mehr.
Publiziert: 17.03.2025 um 11:58 Uhr
|
Aktualisiert: 17.03.2025 um 14:01 Uhr
1/5
Ein simples Häkchen bei «Ich bin kein Roboter» soll Vertrauen schaffen. Doch genau hier beginnt der Betrug mit einer neuen Masche.
Foto: IMAGO/Depositphotos

Darum gehts

  • Neue Betrugsmasche: Gefälschte Captchas führen zu Schadsoftware-Installation auf Computern
  • Kriminelle nutzen zweites Captcha, um Nutzer zur Eingabe von Tastenkombinationen zu verleiten
  • Das deutsche BSI warnt vor Methode, BACS registrierte Ende 2024 Zunahme solcher Angriffe
Die künstliche Intelligenz von Blick lernt noch und macht vielleicht Fehler.
nnnnnnn.jpg
Tobias BolzernRedaktor Digital

«Ich bin kein Roboter» – diesen Satz bestätigen Internetnutzerinnen und –nutzer jeden Tag millionenfach mit einem Klick. Doch, was als Schutz gedacht ist, nutzen Cyberkriminelle jetzt als Einfallstor. Eine gefährliche neue Masche macht aktuell die Runde.

Captchas sind jene kleinen Hürden, die beweisen sollen, dass ein Mensch am Computer sitzt und kein automatisiertes Programm. Mal müssen wir verzerrte Buchstaben erkennen, mal Ampeln, Busse oder Treppen auf Bildern markieren oder aussortieren. Lästig, aber bisher harmlos – und als Sicherheitsmerkmal anerkannt.

So kommt Schadsoftware auf den PC

Hacker platzieren nun aber gefälschte Captchas auf kompromittierten Webseiten. Nach dem Klick auf «Ich bin kein Roboter» passiert dann etwas Ungewöhnliches: Ein zweites Captcha erscheint, das Nutzerinnen und Nutzer auffordert, bestimmte Tastenkombinationen einzugeben.

Mit dem Setzen des Häkchens beim ersten Captcha wird nämlich ein bösartiger Befehl in die Zwischenablage kopiert. Dann wird man aufgefordert, die Tasten Windows+R zu drücken, was den Dialog «Ausführen» öffnet. Danach soll man Ctrl+V und schliesslich noch Enter drücken, somit wird der Code aus der Zwischenablage eingefügt und ausgeführt.

Captchas lösen: Verschwendete Lebenszeit

Captchas wurden im Jahr 2000 von Forschern an der Carnegie Mellon University im amerikanischen Pittsburgh erfunden. Dabei steht das Akronym für «Completely Automated Public Turing test to tell Computers and Humans Apart» (zu Deutsch: «Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen»). Ursprünglich sollten sie Webseiten vor automatisierten Zugriffen schützen.

Die Ironie: Automatisierte Computersysteme lösen Captchas inzwischen besser als wir Menschen. Studien der Universität Kalifornien zeigen, dass Bots Text-Captchas zu 99,8 Prozent in unter einer Sekunde lösen. Menschen erreichten bei den Tests nur 50-84 Prozent Genauigkeit und brauchen bis zu 15 Sekunden.

Der kollektive Zeitverlust ist gigantisch: Laut dem US-Internetsicherheitsanbieter Cloudflare verschwenden Menschen täglich umgerechnet 500 Jahre mit dem Lösen von Captchas. Eine absurde Situation, in der Menschen zunehmend Zeit damit verbringen, Maschinen zu beweisen, dass sie keine Maschinen sind – während Maschinen die Tests längst besser lösen können.

Als Reaktion auf diese Probleme hat sich die Captcha-Technologie weiterentwickelt. Neue Systeme wie Google reCAPTCHA v3 arbeiten fast unsichtbar im Hintergrund. Sie analysieren stetig Nutzerverhalten, Mausbewegungen und andere Faktoren, ohne dass du dabei Bilder markieren oder verzerrten Text entziffern musst.

Nur wenn verdächtige Muster erkannt werden, erscheint ein klassischer Test. Auch europäische Anbieter wie Friendly Captcha setzen auf unsichtbare Verifizierung – der Browser löst dabei im Hintergrund kryptografische Rätsel, während du ohne Unterbruch surfen kannst.

Sisyphusarbeit: Was gehört hier wohl alles zur Ampel?
hexus.net (Bildschirmfoto)

Captchas wurden im Jahr 2000 von Forschern an der Carnegie Mellon University im amerikanischen Pittsburgh erfunden. Dabei steht das Akronym für «Completely Automated Public Turing test to tell Computers and Humans Apart» (zu Deutsch: «Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen»). Ursprünglich sollten sie Webseiten vor automatisierten Zugriffen schützen.

Die Ironie: Automatisierte Computersysteme lösen Captchas inzwischen besser als wir Menschen. Studien der Universität Kalifornien zeigen, dass Bots Text-Captchas zu 99,8 Prozent in unter einer Sekunde lösen. Menschen erreichten bei den Tests nur 50-84 Prozent Genauigkeit und brauchen bis zu 15 Sekunden.

Der kollektive Zeitverlust ist gigantisch: Laut dem US-Internetsicherheitsanbieter Cloudflare verschwenden Menschen täglich umgerechnet 500 Jahre mit dem Lösen von Captchas. Eine absurde Situation, in der Menschen zunehmend Zeit damit verbringen, Maschinen zu beweisen, dass sie keine Maschinen sind – während Maschinen die Tests längst besser lösen können.

Als Reaktion auf diese Probleme hat sich die Captcha-Technologie weiterentwickelt. Neue Systeme wie Google reCAPTCHA v3 arbeiten fast unsichtbar im Hintergrund. Sie analysieren stetig Nutzerverhalten, Mausbewegungen und andere Faktoren, ohne dass du dabei Bilder markieren oder verzerrten Text entziffern musst.

Nur wenn verdächtige Muster erkannt werden, erscheint ein klassischer Test. Auch europäische Anbieter wie Friendly Captcha setzen auf unsichtbare Verifizierung – der Browser löst dabei im Hintergrund kryptografische Rätsel, während du ohne Unterbruch surfen kannst.

Erste Warnung schon Ende 2024

Die Internetgangster versuchen unwissende Personen zu überlisten, da sie sich ja bereits in einer Art «Muss die Aufgabe erledigen»-Mindset befinden. Zurzeit warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland vor der Methode. Das Schweizer Bundesamt für Cybersicherheit (BACS) hatte bereits Ende 2024 eine Zunahme solcher Angriffe registriert.

Die eingeschleuste Schadsoftware, oft sind es sogenannte Infostealer («Informationsdiebe») wie Vidar Stealer oder Lumma Stealer, kann verheerende Folgen haben. Die Kriminellen erhalten mitunter vollständige Kontrolle über Windows-Rechner, können dabei Passwörter und Kreditkartendaten klauen, E-Banking-Infos ausspionieren oder auf Kryptowallets zugreifen. 

Captcha-Betrug: So schützt du dich

Um sich vor dem Captcha-Betrug zu schützen, raten Experten dazu, vor allem bei ungewöhnlichen Captchas misstrauisch zu sein. Legitime Tests werden nie nach Tastenkombinationen fragen – daher gilt: Erscheint eine solche Aufforderung, schliesse das Browser-Fenster. Cybersicherheitsexperten des BACS empfehlen grundsätzlich, Software ausschliesslich von offiziellen Quellen herunterzuladen und den Browser stets auf dem neuesten Stand zu halten.

Und was, wenn man die Schadsoftware bereits installiert hat? Dann helfen nur noch drastische Schritte: «Bei einer bestätigten Infektion sollte das gesamte System neu aufgesetzt werden», rät das BACS. Regelmässige Backups erleichtern die Wiederherstellung der Daten.

Fehler gefunden? Jetzt melden
Was sagst du dazu?