Darum gehts
- Neue Betrugsmasche: Gefälschte Captchas führen zu Schadsoftware-Installation auf Computern
- Kriminelle nutzen zweites Captcha, um Nutzer zur Eingabe von Tastenkombinationen zu verleiten
- Das deutsche BSI warnt vor Methode, BACS registrierte Ende 2024 Zunahme solcher Angriffe
«Ich bin kein Roboter» – diesen Satz bestätigen Internetnutzerinnen und –nutzer jeden Tag millionenfach mit einem Klick. Doch, was als Schutz gedacht ist, nutzen Cyberkriminelle jetzt als Einfallstor. Eine gefährliche neue Masche macht aktuell die Runde.
Captchas sind jene kleinen Hürden, die beweisen sollen, dass ein Mensch am Computer sitzt und kein automatisiertes Programm. Mal müssen wir verzerrte Buchstaben erkennen, mal Ampeln, Busse oder Treppen auf Bildern markieren oder aussortieren. Lästig, aber bisher harmlos – und als Sicherheitsmerkmal anerkannt.
So kommt Schadsoftware auf den PC
Hacker platzieren nun aber gefälschte Captchas auf kompromittierten Webseiten. Nach dem Klick auf «Ich bin kein Roboter» passiert dann etwas Ungewöhnliches: Ein zweites Captcha erscheint, das Nutzerinnen und Nutzer auffordert, bestimmte Tastenkombinationen einzugeben.
Mit dem Setzen des Häkchens beim ersten Captcha wird nämlich ein bösartiger Befehl in die Zwischenablage kopiert. Dann wird man aufgefordert, die Tasten Windows+R zu drücken, was den Dialog «Ausführen» öffnet. Danach soll man Ctrl+V und schliesslich noch Enter drücken, somit wird der Code aus der Zwischenablage eingefügt und ausgeführt.
Captchas wurden im Jahr 2000 von Forschern an der Carnegie Mellon University im amerikanischen Pittsburgh erfunden. Dabei steht das Akronym für «Completely Automated Public Turing test to tell Computers and Humans Apart» (zu Deutsch: «Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen»). Ursprünglich sollten sie Webseiten vor automatisierten Zugriffen schützen.
Die Ironie: Automatisierte Computersysteme lösen Captchas inzwischen besser als wir Menschen. Studien der Universität Kalifornien zeigen, dass Bots Text-Captchas zu 99,8 Prozent in unter einer Sekunde lösen. Menschen erreichten bei den Tests nur 50-84 Prozent Genauigkeit und brauchen bis zu 15 Sekunden.
Der kollektive Zeitverlust ist gigantisch: Laut dem US-Internetsicherheitsanbieter Cloudflare verschwenden Menschen täglich umgerechnet 500 Jahre mit dem Lösen von Captchas. Eine absurde Situation, in der Menschen zunehmend Zeit damit verbringen, Maschinen zu beweisen, dass sie keine Maschinen sind – während Maschinen die Tests längst besser lösen können.
Als Reaktion auf diese Probleme hat sich die Captcha-Technologie weiterentwickelt. Neue Systeme wie Google reCAPTCHA v3 arbeiten fast unsichtbar im Hintergrund. Sie analysieren stetig Nutzerverhalten, Mausbewegungen und andere Faktoren, ohne dass du dabei Bilder markieren oder verzerrten Text entziffern musst.
Nur wenn verdächtige Muster erkannt werden, erscheint ein klassischer Test. Auch europäische Anbieter wie Friendly Captcha setzen auf unsichtbare Verifizierung – der Browser löst dabei im Hintergrund kryptografische Rätsel, während du ohne Unterbruch surfen kannst.
Captchas wurden im Jahr 2000 von Forschern an der Carnegie Mellon University im amerikanischen Pittsburgh erfunden. Dabei steht das Akronym für «Completely Automated Public Turing test to tell Computers and Humans Apart» (zu Deutsch: «Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen»). Ursprünglich sollten sie Webseiten vor automatisierten Zugriffen schützen.
Die Ironie: Automatisierte Computersysteme lösen Captchas inzwischen besser als wir Menschen. Studien der Universität Kalifornien zeigen, dass Bots Text-Captchas zu 99,8 Prozent in unter einer Sekunde lösen. Menschen erreichten bei den Tests nur 50-84 Prozent Genauigkeit und brauchen bis zu 15 Sekunden.
Der kollektive Zeitverlust ist gigantisch: Laut dem US-Internetsicherheitsanbieter Cloudflare verschwenden Menschen täglich umgerechnet 500 Jahre mit dem Lösen von Captchas. Eine absurde Situation, in der Menschen zunehmend Zeit damit verbringen, Maschinen zu beweisen, dass sie keine Maschinen sind – während Maschinen die Tests längst besser lösen können.
Als Reaktion auf diese Probleme hat sich die Captcha-Technologie weiterentwickelt. Neue Systeme wie Google reCAPTCHA v3 arbeiten fast unsichtbar im Hintergrund. Sie analysieren stetig Nutzerverhalten, Mausbewegungen und andere Faktoren, ohne dass du dabei Bilder markieren oder verzerrten Text entziffern musst.
Nur wenn verdächtige Muster erkannt werden, erscheint ein klassischer Test. Auch europäische Anbieter wie Friendly Captcha setzen auf unsichtbare Verifizierung – der Browser löst dabei im Hintergrund kryptografische Rätsel, während du ohne Unterbruch surfen kannst.
Erste Warnung schon Ende 2024
Die Internetgangster versuchen unwissende Personen zu überlisten, da sie sich ja bereits in einer Art «Muss die Aufgabe erledigen»-Mindset befinden. Zurzeit warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland vor der Methode. Das Schweizer Bundesamt für Cybersicherheit (BACS) hatte bereits Ende 2024 eine Zunahme solcher Angriffe registriert.
Die eingeschleuste Schadsoftware, oft sind es sogenannte Infostealer («Informationsdiebe») wie Vidar Stealer oder Lumma Stealer, kann verheerende Folgen haben. Die Kriminellen erhalten mitunter vollständige Kontrolle über Windows-Rechner, können dabei Passwörter und Kreditkartendaten klauen, E-Banking-Infos ausspionieren oder auf Kryptowallets zugreifen.
Captcha-Betrug: So schützt du dich
Um sich vor dem Captcha-Betrug zu schützen, raten Experten dazu, vor allem bei ungewöhnlichen Captchas misstrauisch zu sein. Legitime Tests werden nie nach Tastenkombinationen fragen – daher gilt: Erscheint eine solche Aufforderung, schliesse das Browser-Fenster. Cybersicherheitsexperten des BACS empfehlen grundsätzlich, Software ausschliesslich von offiziellen Quellen herunterzuladen und den Browser stets auf dem neuesten Stand zu halten.
Und was, wenn man die Schadsoftware bereits installiert hat? Dann helfen nur noch drastische Schritte: «Bei einer bestätigten Infektion sollte das gesamte System neu aufgesetzt werden», rät das BACS. Regelmässige Backups erleichtern die Wiederherstellung der Daten.