Direkt zum Inhalt wechseln
logo Das Magazin für digitalen Lifestyle und Entertainment
Eine Marke von Bild
„Sie sind kein Roboter?“

Gefälschte Captchas können Malware installieren

Für eine neue Masche nutzen Kriminelle Captchas, um Malware aufzuspielen
Für eine neue Masche nutzen Kriminelle Captchas, um Malware aufzuspielen Foto: picture alliance / blickwinkel/fotototo
TECHBOOK Logo
TECHBOOK Redaktion

23. März 2025, 9:29 Uhr | Lesezeit: 3 Minuten

Ein harmlos wirkendes Häkchen mit verheerender Wirkung: Wer einem vermeintlichen „Ich bin kein Roboter“-Captcha begegnet, kann schnell in eine Falle tappen. Eine neue Betrugsmasche nutzt das Vertrauen in Captchas – mit gefährlichen Folgen für den Rechner. TECHBOOK erklärt, wie die Masche funktioniert und wie sich Nutzer schützen können.

Artikel teilen

Das BSI (Bundesamt der Sicherheit für Informationstechnik) warnt aktuell vor einer neuen Betrugsmasche. Dabei geht es um gefälschte Captchas, die eine Tastenkombination fordern – ein klares Anzeichen für eine manipulierte Website mit Malware.

Gefälschte Captchas als Einfallstor für Malware

Derzeit mehren sich Fälle, bei denen Cyberkriminelle täuschend echt wirkende Captchas auf manipulierten Webseiten einsetzen, um Malware auf Rechnern zu installieren. Captcha ist im Übrigen die Abkürzung für „Completely Automated Public Turing Test to Tell Computers and Humans Apart“. Das bedeutet so viel wie: „Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Die Schutzmaßnahme soll sicherstellen, dass die gestellte Anfrage von einer realen Person und nicht von einem automatisierten Programm stammt.

Prinzipiell ist das begrüßenswert, allerdings zeigen die aktuellen Fälle, dass sich Cyberkriminelle auch diese eigentliche Schutzmaßnahme zunutze machen können. Wer auf einer Website ein übliches „Ich bin kein Roboter“-Captcha anklickt, sollte besonders wachsam sein. Wird nach dem Bestätigen des Häkchens regulärer Zugriff auf die Seite gewährt, besteht kein Grund zur Sorge.

Anders sieht es aus, wenn anschließend ein weiteres Banner mit Anweisungen zur Eingabe von Tastenkombinationen erscheint. In diesem Fall handelt es sich um eine hochgefährliche Betrugsseite.

Tastenkombinationen als Warnsignal

Die derzeit kursierende Angriffsmethode wurde laut dem Schweizerischen Bundesamt für Cybersicherheit (BACS) erstmals Ende 2024 dokumentiert. Bereits das erste Captcha ist gefälscht, wie sich spätestens durch das zweite Banner zeigt: Es fordert zur angeblich zusätzlichen Verifikation die Ausführung spezifischer Tastenkombinationen auf.

Google Pixel 9 Pro

6,3 Zoll – 128GB – mit Gemini

JETZT AUF AMAZON

Die Taktik folgt dabei einem genau abgestimmten Plan: Schon mit dem Anklicken des Captcha-Häkchens wird ein bösartiger Befehl automatisch in die Zwischenablage des Systems kopiert. Im nachfolgenden Banner fordern die Angreifer die dann Nutzer auf, ein Eingabefeld über eine Tastenkombination zu öffnen.

Weitere Anweisungen führen dazu, dass der bereits gespeicherte Befehl aus der Zwischenablage in das Eingabefeld eingefügt und unbemerkt ausgeführt wird. In der Folge wird eine Schadsoftware von einem Server der Angreifer heruntergeladen und installiert.

Datenklau als Folge der Captcha-Malware

Die so installierte Malware kann weitreichende Schäden verursachen. Unter anderem ist sie in der Lage, Informationen über das Betriebssystem, aus Webbrowsern oder Messengern zu sammeln. Sie kann aber auch sensible Zugangsdaten wie Passwörter oder Kreditkartennummern stehlen sowie Krypto-Wallets oder Authentifizierungssysteme für Onlinebanking kompromittieren.

Außerdem ist sie in der Lage, weiterer Schadsoftware die Tür zu öffnen oder beliebige Befehle auszuführen. Da viele Schadprogramme tief ins System eingreifen, ist eine vollständige Entfernung meist nicht ohne Weiteres möglich, was die Sache zusätzlich kompliziert macht.

Mehr zum Thema

Was Betroffene tun können

Wer vermutet, Opfer eines solchen Angriffs geworden zu sein, sollte nicht zögern. Laut BACS ist es in diesen Fällen ratsam, den Rechner vollständig neu aufzusetzen. Dazu gehört, das Betriebssystem komplett neu zu installieren und alle persönlichen Daten ausschließlich von externen Sicherungen zurückzuspielen.

Gibt es keine oder keine aktuellen Backups auf externen Datenträgern – die grundsätzlich vorhanden sein sollten – müssen die Daten vor dem Neuaufsetzen zunächst gesichert werden. Zudem empfiehlt es sich, sämtliche Passwörter zu ändern, insbesondere jene für E-Mail-Konten. Denn diese gelten als Zugangspunkt zu vielen weiteren Diensten und Accounts.

Mit Material der dpa.

Themen #AmazonTech
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale- Netzwerke zu teilen, brauchen wir deine Zustimmung für diesen .
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.