Hacker nutzen Sicherheitsabfrage für Betrug

24. März 2025

• Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer neuen Betrugsmasche mit Captchas.
• Die Betrüger nutzen den bekannten Sicherheitstest, um Schadsoftware auf unseren PCs zu platzieren. 
• Nutzende sollten vorsichtig werden, wenn eine Tastenkombination gefordert wird. 

„Dass Captchas manchmal etwas nervig sind, wisst ihr selbst. Was Vielen neu sein wird: Auch Malware tarnt sich mittlerweile immer häufiger als Captcha. Eingeschleust über präparierte Werbebanner versucht sie, euch dazu zu bringen, auf eurem Rechner ein Kommando auszuführen.“ Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) warnt auf dem Mikroblogging-Dienst Mastodon vor der neuen Captcha-Betrugsmasche.

Das Captcha-Verfahren

„Klicken Sie alle Bilder mit Zebrastreifen (oder Autos, Fahrräder, Hydranten...)“ – diese Aufforderung im Netz hat schon jeder gesehen, hat sich (manchmal) genervt durchgeklickt und konnte dann weitersurfen. Mit diesen „completely automated public Turing tests to tell computers and humans apart“ (kurz Captcha) wird automatisch getestet, dass Nutzer Menschen sind. Cyberkriminelle haben sich in dieses automatisierte Verfahren jetzt teils eingeschlichen. Sie nutzen das Captcha-Verfahren aus, um Schadsoftware zu platzieren, wie das BSI letzte Woche auf Mastodon warnte.

Wie klappt der Betrug?

Der Betrugsablauf beginnt bei einem manipulierten Captcha sobald wir anklicken, dass wir kein Roboter sind. Im Hintergrund wird dann ein bösartiger Code in die Zwischenablage unseres PCs kopiert. Gleichzeitig öffnet sich ein neues Eingabefenster mit weiteren Anweisungen. So sollen wir unter Windows zum Beispiel eine Tastenkombination eingeben, um dort den Inhalt der Zwischenablage einzufügen. Damit geben wir aber unwissentlich den Impuls, dass die Malware auf unserem PC installiert wird. Mit ihr erlangen Hacker Zugriff auf unser System und können uns zum Beispiel den Zugang zu unserem PC mit Erpressungssoftware sperren. „Die Malware kann sich aber auch unbemerkt im Hintergrund einnisten und stiehlt von dort aus sensible Daten und Logins“, beschreibt Marvin Fuhrmann auf t3n die möglichen weiteren Folgen. So können die Betrüger unter anderem an unsere Passwörter oder Bankdaten gelangen. 

Was können wir machen?

Der wirksamste Schutz ist laut Experten kritische Vorsicht und nicht übereilt zu handeln. Gerade wenn wir auf unbekannten Websites aufgefordert werden, ungewöhnliche Tastenkombinationen einzugeben, sollten wir den Anweisungen nicht folgen. Gleichzeitig gelten bei der Vermeidung des neuen Captcha-Betrugs die „üblichen“ Vorsichts-Standards des verantwortungsvollen Surfens: Unsere Browser immer aktuell halten, die Zwei-Faktor-Authentifizierung für alle wichtigen Online-Dienste aktivieren, mit einem Antivirenprogramm arbeiten und regelmäßige Back-ups unserer Daten. Wenn wir allerdings auf die Captcha-Masche schon reingefallen sind, ist Schnelligkeit gefragt: Dann sollten wir sofort den PC vom Internet trennen, ein Antivirenprogramm aktivieren, die Malware identifizieren und löschen. Gerit Gerbig von Netzwelt.de empfiehlt zudem, „alle eure Passwörter zu ändern. Besonders für euren Mail-Account, das Onlinebanking und eure Social-Media-Konten.“  

 Automatisierte Captchas

„Wir verwenden einen neuartigen Proof-of-Work-Mechanismus, so dass die Benutzer keine manuellen Aufgaben mehr durchführen müssen. Dieser Mechanismus basiert in unserem Fall auf einer unsichtbaren Rechenaufgabe,“ erläutert Benedict Padberg auf heise.de. Er ist Mitbegründer von Friendly Captcha, einem Cyber-Security-Anbieter aus München. Er arbeitet an der Zukunft der Captcha-Methode. Bei seiner Lösung müssen wir als Nutzende gar nichts mehr klicken. Unser Rechner löst bei seiner Captcha-Variante eine Rechenaufgabe im Hintergrund und bestätigt so automatisch, dass der PC von einem Menschen genutzt wird.