Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte kürzlich vor einer besonders perfiden Betrugsmasche. Nichtsahnende Nutzer öffnen Cyberkriminellen dabei selbst die Tore und installieren Malware auf den eigenen Rechnern. Und das mit nur zwei kurzen Tastenkombinationen. Wie? Mittels der sogenannten Captchas – also der allseits bekannten Bot-Tests, die auf unzähligen Seiten zum Einsatz kommen.
Gefährliche Captchas
Laut einem Mastodon-Post des BSI tarnt sich Malware immer öfter als Captchas. In dem Glauben, einen Beweis dafür zu erbringen, ein Mensch zu sein, folgen Internetnutzern den Anweisungen – und tappen in eine Falle. Genauere Details offenbarte das Schweizer Bundesamt für Cybersicherheit (BACS) bereits Ende 2024. Demnach fordern die betrügerischen Captchas Internetnutzer dazu auf, zunächst „Windows-Taste + R“, danach „Strg + V“ und anschließend „Enter“ auf der Tastatur zu drücken, um sich zu verifizieren.
In Wahrheit öffnet das erste Tastenkürzel das Dialogfeld „Ausführen“. Während das zweite einen zuvor durch das Anklicken der Schaltfläche „Ich bin kein Roboter“ in die Zwischenablage gespeichertes PowerShell-Skript einfügt. Wird das Skript mit einem Klick auf Enter ausgeführt, verbindet sich der Rechner mit einem Server der Angreifer und lädt sowie installiert ein Schadprogramm.
Tipps gegen betrügerische Captchas
Das BSI rät dazu, einen Adblocker zu nutzen, da Schadcode sich oftmals in präparierten Werbebannern verstecken würde. Ferner soll nach Möglichkeit ohne Admin-Rechte gesurft werden, was der Malware den Zugang zum Computer erschweren soll. Und selbstverständlich wäre es klug, die Finger von unbekannten Tastenkombinationen zu lassen. Das BACS empfiehlt zudem unter anderem, die Update-Richtlinien der Browser-Hersteller zu befolgen und bei ungewöhnlichen Captchas generell vorsichtig zu sein.
Die Abkürzung Captcha steht übrigens für „Completely Automated Public Turing test to tell Computers and Humans Apart“ – übersetzt also „vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Die Aufgabe der Tests ist folglich, Bots ausfindig zu machen und ihnen den Zugang zu Inhalten zu verwehren. Das funktioniert mittlerweile jedoch nicht immer. Bereits 2021 berichteten die Sicherheitsexperten von Kaspersky über Captcha-Farmen, bei denen Menschen eingesetzt werden, um Captchas auszuhebeln. Zudem existieren inzwischen sogar Add-ons, die zumindest einige Captchas erfolgreich selbstständig lösen können. Wie viel Schutz die meisten Captchas noch bieten, ist also ungewiss.
