Sie sind kein Roboter? Hinter Captchas kann Malware lauern

Von Markus Brauer/dpa

Wer beim Öffnen von Webseiten derzeit auf „Ich bin kein Roboter“-Captchas stößt, sollte nach dem Setzen des grünen Bestätigungshäkchens besonders vorsichtig sein. Wird nach dem Abhaken ganz normal Zugang zur Seite gewährt, ist alles in Ordnung.

Doch erscheint nach der Häkchen-Abfrage ein weiteres Banner mit Anweisungen zum Ausführen von Tastenkombinationen, ist man auf einer brandgefährlichen, manipulierten Webseite gelandet, die Schadsoftware auf den Rechner schleusen will. Davor warnt aktuell wieder das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dann gilt: Sofort abbrechen und den Browser schließen.

Wie viele Sicherheitsobjekte seht ihr? Captchas verhindern, dass Formulare von Bots ausgefüllt werden. Zum #SaferInternetDay könnt auch ihr das Netz einfach sicherer machen: Prüft, ob der Browser aktuell ist und automatische Updates aktiviert sind. #DeutschlandDigitalSicherBSIpic.twitter.com/STkZDvOIGn — BSI (@BSI_Bund) February 8, 2022

Fordern Captchas Tastenkombis, stimmt etwas nicht

Erstmals war die Angriffsmethode Ende 2024 aufgetaucht und etwa vom Schweizerischen Bundesamt für Cybersicherheit (BACS) dokumentiert worden: Dass man es schon eingangs mit einem gefälschten Captcha zu tun hatte, wird klar, wenn ein zweites Banner auftaucht, das zur angeblichen weiteren Verifikation das Ausführen diverser Tastenkombinationen fordert.

Der perfide Angriff im Detail erklärt:

1. Mit dem Setzen des Häkchens beim „Ich bin kein Roboter“-Captcha ist schon ein bösartiger Befehl in den Zwischenspeicher kopiert worden. Und Folgendes soll die ahnungslosen Nutzer dann noch tun, wenn es nach den Cyberkriminellen geht:

2. Im zweiten Banner wird man dann dazu aufgefordert, per Tastenkombination ein Windows-Eingabefeld zu öffnen.

3. Mit einer weiteren Tastenkombi soll man dann den gefährlichen Befehl aus der Zwischenablage in das Eingabefeld einfügen und dann ausführen.

4. Danach wird von einem Server der Angreifer eine Schadsoftware heruntergeladen und installiert, die verheerende Möglichkeiten hat, etwa:

• Mächtige Malware kann PC quasi übernehmen
• Informationen sammeln, beispielsweise vom Betriebssystem, aus Webbrowsern oder Messengern
• Sensible Zugangs- oder Bezahlinformationen stehlen, etwa Passwörter oder Kreditkartendaten
• Krypto-Wallets oder Authentisierungs-Prozesse, etwa fürs Onlinebanking, angreifen
• beliebige weitere Befehle ausführen
• beliebige weitere Schadsoftware einschleusen

Nach einer Infektion müssen Betroffene handeln

Da viele Schadprogramme tiefgreifende Änderungen am System vornehmen, die nicht einfach rückgängig gemacht werden können, sollten Betroffene nach einer tatsächlichen Infektion mit der Malware aus dem Captcha-Angriff sicherheitshalber den ganzen Rechner neu aufsetzen, rät das BACS.

Das bedeutet im Detail:

• Das Betriebssystem ganz neu installieren und die eigenen Daten möglichst von Backups auf externen Datenträgern wieder auf den Computer spielen.
• Gibt es keine oder keine aktuelle Datensicherung auf externen Datenträgern, die grundsätzlich bei keinem Anwender fehlen sollten, müssen die eigenen Daten vor dem Neuaufsetzen des Rechners natürlich erst einmal gesichert werden.
• Zusätzlich sollten sicherheitshalber alle Passwörter von Onlinekonten geändert werden, zuallererst die der E-Mail-Accounts.

Wo besonders häufig im Netz betrogen wird

• Phishing: Am häufigsten berichteten Internetnutzer mit 35 Prozent demnach über Phishing. Bei sechs Prozent wurden auf diesem Weg Zugangsdaten zu einem Onlinedienst erfolgreich ausspioniert.
• Onlinekauf: 30 Prozent wurden beim Onlineeinkauf betrogen, acht Prozent wurden als Verkäufer von Waren online betrogen. Mit 26 Prozent wurde rund ein Viertel der Befragten im Internet verbal angegriffen oder schwer beleidigt. Bei einem Fünftel beziehungsweise 20 Prozent wurde der Computer mit Schadprogrammen wie Viren infiziert, bei 13 Prozent das Smartphone.
• Ransomware: Einen Angriff mit Ransomware, bei dem Daten verschlüsselt und nur gegen Lösegeld wieder zugänglich gemacht werden, erlebten ein Prozent auf ihrem PC und drei Prozent auf dem Smartphone. 13 Prozent wurden Opfer von Betrug beim Onlinebanking, oder ihre Kontodaten wurden missbraucht. Darüber hinaus gaben vier Prozent an, dass ein Mensch sich im Internet unter dem eigenen Namen ausgab.

Mehrheit der Deutschen fürchtet sich vor Cyberangriffen

Eine deutliche Mehrheit der Menschen in Deutschland hat Angst vor Cyberangriffen oder gar einem Cyberkrieg. Bei einer Umfrage des Digitalverbandes Bitkom sagten 61 Prozent, dass sie Cyberangriffe durch Staaten befürchten, mit denen Infrastruktur, öffentliche Einrichtungen oder Unternehmen gezielt gestört, sabotiert oder zerstört werden sollen. 24 Prozent der Befragten befürchten solche Attacken „auf jeden Fall“, 37 Prozent halten sie zumindest für wahrscheinlich („eher ja“).