Captchas kennt fast jeder. Auch einige Tastenkombinationen sind fast jedem bekannt. Cyberkriminelle haben nun beide Dinge verbunden: Heraus kommt eine gefährliche Betrugsmasche. Das BSI warnt.
Eigentlich sollten sie helfen, Menschen und Maschinen zu unterscheiden: Sogenannte Captchas. Doch immer öfter werden die kleinen Minirätsel Einfallstor für Cyberkriminelle und ihre Malware. Genau davor hat nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) gewarnt.
Der Trick ist dabei perfide: Den Opfern wird vorgegaukelt, ein normales Captcha zu lösen. In Wirklichkeit wird im Hintergrund ein Kommando ausgeführt, welches die gefährliche Malware auf dem Gerät installiert. Worauf ihr achtet solltet, erklären wir euch hier.
Gefährliche Tastenkombination bei Captcha-Falle
Captchas steht für "completely automated public Turing test to tell computers and humans apart". Auf Deutsch also "vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen". Die kleinen Tests sollen vor allem die Zielseiten oder -Formulare vor maschinellen Bearbeitung schützen. Sie dienen also beispielsweise dazu, automatisierte Abfragen oder Anmeldungen zu verhindern.
Beliebt sind sie sicher nicht: "Dass Captchas manchmal etwas nervig sind, wisst ihr selbst", schreibt auch das BSI auf Mastodon. Doch das sei nicht das eigentliche Problem: "Was Vielen neu sein wird: Auch Malware tarnt sich mittlerweile immer öfter als Captcha. Eingeschleust über präparierte Werbebanner versucht sie, euch dazu zu bringen, auf eurem Rechner ein Kommando auszuführen", so das Bundesamt.
Funktionieren soll dies so: Statt der bekannten Bildchen auszuwählen, werden Nutzer bei diesen Captchas dazu aufgefordert, eine bestimmte Tastenkombination zu betätigen. Tatsächlich werden sie so dazu gebracht, ein Kommando auf dem Gerät auszuführen.
Mit nur zwei Tastenkombinationen wird Malware installiert
Bereits Ende 2024 hatte das Schweizer Bundesamt für Cybersicherheit (BACS) vor der Masche gewarnt. Demnach werden bei dieser Betrugsmethode Internetnutzer auf eine gefälschte Captcha-Seite gelockt, oft über kompromittierte legitime Anbieter oder öffentlich zugängliche Captcha-Dienste.
Wenn Nutzer die Schaltfläche „Ich bin kein Roboter“ anklicken, wird ein schädliches PowerShell-Skript in die Zwischenablage kopiert. Ein solches Skript ist eine Textdatei, die Befehle enthält, die der Computer ausführen soll. Die Nutzer werden dann dazu verleitet, das Skript durch Drücken der Windows-Taste + R und anschließendes Einfügen mit Ctrl + V auszuführen.
