Gefälschte Captchas: BSI warnt vor neuer Cybercrime-Masche

Jeder von uns hat sie schon einmal gesehen - die kleinen Rätsel im Netz, bei denen wir Zebrastreifen oder Ampeln anklicken müssen, um zu beweisen, dass wir keine Roboter sind. Captchas sind eigentlich dazu da, uns vor Bots zu schützen. Doch jetzt drehen Cyberkriminelle den Spieß um und nutzen ausgerechnet diese Sicherheitsmechanismen für ihre Angriffe.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schlägt aktuell Alarm: Es kursiert eine neue Betrugsmasche mit gefälschten Captchas, die ahnungslose Nutzer in die Falle lockt.

So funktioniert der Angriff

Auf den ersten Blick wirkt das Ganze harmlos: Du landest auf einer Webseite und wirst gebeten, ein scheinbar gewöhnliches Captcha zu lösen - etwa den Klassiker „Ich bin kein Roboter“. Doch mit dem Klick passiert mehr, als dir lieb ist.

• Im Hintergrund wird unbemerkt ein schädlicher Code in deine Zwischenablage kopiert.
• Im nächsten Schritt fordert die Seite dich auf, eine Tastenkombination auszuführen, die dir suggeriert, du würdest deine Eingabe verifizieren.
• Tatsächlich fügst du dabei aber den kopierten Code aus der Zwischenablage ein - und zack, lädt sich im Hintergrund Schadsoftware von einem externen Server.

Sobald der Code ausgeführt ist, kann die Malware deine Passwörter stehlen, Tastatureingaben überwachen oder deinen Rechner in ein Botnetz einbinden. Besonders heikel: Die Angreifer nutzen das Vertrauen aus, das viele Nutzer in Captchas haben - schließlich gehören sie seit Jahren zum Standard im Internet. Und das perfide daran ist, dass viele Opfer gar nicht merken, was passiert ist, bis es zu spät ist.

Das BSI rät zur Vorsicht: Wenn ein Captcha dich plötzlich dazu auffordert, Tastenkombinationen auszuführen, solltest du die Seite sofort schließen. Auch der klassische Tipp, nur auf bekannten und vertrauenswürdigen Webseiten zu surfen, ist wichtiger denn je. Zusätzlich empfehlen die Experten, den Zwischenspeicher regelmäßig zu leeren, um sicherzustellen, dass sich dort keine schädlichen Codes verstecken. Wer ganz auf Nummer sicher gehen will, hält seine Antivirensoftware aktuell - viele Programme erkennen solche Angriffe inzwischen zuverlässig.

Was tun im Ernstfall?

Sollte der Fall eintreten, dass du doch Opfer dieser Masche geworden bist, gilt es schnell zu handeln: Internetverbindung kappen, Rechner nicht weiter benutzen und sofort einen vollständigen Virenscan starten. Im schlimmsten Fall musst du sogar dein Betriebssystem neu aufsetzen und sämtliche Passwörter ändern.

Diese neue Betrugsmasche zeigt einmal mehr: Selbst die scheinbar harmlosesten Sicherheitsmechanismen wie Captchas können zur Falle werden, wenn Cyberkriminelle kreativ werden.