Eigentlich dienen Captchas dazu uns zu schützen: Kleine Aufgaben, die Menschen von Bots unterscheiden und so Missbrauch von Webseiten verhindern. Doch Cyberkriminelle haben den Spieß inzwischen umgedreht. Denn immer häufiger setzen sie Captchas selbst ein – als Tarnung, um Schadcode einzuschleusen, Analysen zu blockieren und gängige Sicherheitslösungen gezielt zu umgehen. Damit wird ein ursprünglich sinnvolles Instrument der Cybersicherheit in sein Gegenteil verkehrt.
Welche Ziele verfolgen Cyberkriminelle mit der Verwendung von Captchas?
Blockieren automatisierter Analyse: Viele Sicherheitslösungen erkennen schädliche Inhalte, indem sie Webseiten automatisch aufrufen und analysieren. Doch sobald eine Captcha-Abfrage vorgeschaltet ist, scheitert dieser Mechanismus, was zur Folge hat, dass der Zugriff Maschinen verwehrt bleibt.
Ablauf einer Cyberattacke mithilfe von Captchas
Der Nutzer erhält eine täuschend echt wirkende E-Mail von einem vermeintlich bekannten Online-Dienst, bei dem er tatsächlich ein Konto hat. In der E-Mail wird er mit einer angeblich dringenden Aufforderung zur Kontoverifizierung unter Druck gesetzt. Der enthaltene Link führt auf eine authentisch wirkende Website, die sich optisch kaum vom Original unterscheidet. Das eingebundene Captcha erweckt dabei zusätzlich den Eindruck von Sicherheit und Seriosität.
Nach dem erfolgreichen „Sicherheitscheck“ wie etwa durch das Anklicken eines vermeintlich seriösen Captcha-Feldes („Ich bin kein Roboter“) wird unbemerkt ein schädliches JavaScript aktiv. Dieses kopiert einen vorbereiteten PowerShell-Befehl in die Zwischenablage. Im nächsten Schritt wird der Nutzer dazu verleitet, Inhalte aus der Zwischenablage einzufügen oder eine ähnlich harmlos wirkende Aktion auszuführen. Mit dieser scheinbar unbedeutenden Handlung wird der Schadcode aktiviert – und die Infektion des Systems nimmt ihren Lauf.
Was können Unternehmen und Nutzer dagegen tun?
Wachsamkeit bleibt entscheidend: Nur Captchas auf vertrauenswürdigen Seiten lösen, keine Berechtigungen oder Downloads auf unbekannten Seiten zulassen, Inhalte aus der Zwischenablage prüfen und verdächtige Vorkommnisse sofort melden. Regelmäßige Sensibilisierungs-Schulungen und Phishing-Simulationen helfen, auch raffinierte Angriffe frühzeitig zu erkennen.
Quelle: Connect Professional
