von Fake-CAPTCHA – Was ist das denn wieder? Nun, ein CAPTCHA ist eigentlich nichts Neues. In der digitalen Welt sind CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ein vertrautes Bild. Und jeder von uns hat sie wahrscheinlich schon verwenden müssen, um zu beweisen, dass wirklich ein Mensch vor dem Bildschirm sitzt. Solche CAPTCHA sollen sicherstellen, dass eine Eingabe wirklich von einer Person stammt – und nicht von einem Bot. Solche Abfragen schützen Websites vor Spam, Missbrauch und automatisierten Angriffen. Doch jetzt geraten eben diese digitalen Helferlein, die CAPTCHA selbst ins Visier bei der: Cyberkriminelle (Black-Hat-Hacker) fälschen sie, um ahnungslose Nutzerinnen und Nutzer zu täuschen – mit ernsten Folgen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Anfang März bereits auf seinem Mastadon-Server vor solchen Fake-CAPTCHA gewarnt.
Was sind Fake-CAPTCHA?
Fake-CAPTCHA sind täuschend echte Nachbildungen legitimer CAPTCHA-Abfragen – mit einem entscheidenden Unterschied: Sie stammen nicht von vertrauenswürdigen Anbietern, sondern von Betrügerinnen oder Betrügern. Meist erscheinen sie auf kompromittierten Webseiten oder in manipulierten Werbebannern – kurz: auf gehackten Internetseiten. Es können z.B. auch zu diesem Zweck erstellte Fake-Webseiten sein, die womöglich mit unglaublich günstigen Artikeln locken. Die Hacker-Community ist nicht nur technisch versichert sondern teilweise auch hochkreativ. Mit solchen Methoden sollen Nutzerinnen und Nutzer aufgefordert werden, angeblich zusätzliche „Sicherheitsmaßnahmen“ durchzuführen – etwa bestimmte Tastenkombinationen zu drücken oder Systembefehle einzugeben.
Ein perfides Beispiel: Nutzende sollen „Win + R“ drücken. Eigentlich ist dieser Shortcut ein Standardbefehl bei Windows und ist dafür da das Fenster „Programm oder Datei ausführen“ zu öffnen. Die Folge? Es wird ein schädlicher Code ausgeführt., wie beispielsweise ein Trojaner.
Neue Tricks der Angreifer bei Fake-CAPTCHA
Fake-CAPTCHA sind leider keine Einzelfälle mehr. In den letzten Monaten ist ein klarer Anstieg solcher Angriffe zu beobachten. Besonders häufig wird dabei die Schadsoftware Lumma Stealer eingesetzt – ein Info-Stealer, der sich in sekundenschnelle im System einnistet. Es wirkt zwar so, als dass Trojaner wie der Lumma Stealer völlig neu wären, doch dem ist nicht so. Der Lumma Stealer zum Beispiel (auch bekannt als LummaC2 Stealer) ist seit mindestens August 2022 für 250 US$ im Darknet im Umlauf (siehe hier).
Was ist ein Stealer?
Ein Stealer ist ein Trojaner, der Informationen aus einem System sammelt. Die häufigste Form von Stealern sind solche, die Anmeldeinformationen wie Benutzernamen und Passwörter sammeln und diese dann per E-Mail oder über ein Netzwerk an ein anderes System senden. Andere Stealer, sogenannte Keylogger, protokollieren kontinuierlich Tastatureingaben von Nutzenden und können so vertrauliche Informationen preisgeben. Daneben gibt es auch Hardware-Keylogger, die z.B. zwischen Rechner und Tastatur gesetzt werden. Ich kenne noch die PS/2 Hardware Key Logger (ja, es gab etwas vor USB 🙂 ) Eine Weiterentwicklung dessen sind die USB Hardware Key Logger . Einige Varianten, sogenannte drahtlose Hardware-Keylogger, können über einen drahtlosen Kommunikationsstandard ferngesteuert und überwacht werden. Zu guter Letzt können Trojaner über Wireless Keylogger Sniffer funktionieren. Diese Sniffer protokollieren die gesendeten Daten zwischen Funktastatur und Rechner. Das interessante an Hardware Key Logger ist, dass sie von den Nutzenden nicht unmittelbar erkannt und wahrgenommen werden. Wann haben Sie denn das letzte Mal hinter ihren Rechner geschaut? Aber davon ab, wenn Sie einen Hardware Key Logger an ihrem Rechner entdecken, dann haben Sie wahrscheinlich ein größeres Problem: wahrscheinlich ein zwischenmenschliches! Denn irgendjemand in Ihrem Umfeld muss ihnen das Ding untergejubelt haben!
Doch es geht noch raffinierter: Einige Fake-CAPTCHA-Seiten manipulieren die Zwischenablage. Wer dann etwa einen vermeintlichen Einmalcode kopiert und einfügt, überträgt in Wahrheit eine gefährliche URL oder einen Systembefehl. Alles passiert im Hintergrund – ohne sichtbare Warnzeichen. Ähnlich gefährlich sind aktuell auch QR-Codes, da hinter diesen Codes auch schadenbringende URLs von Webseiten stecken können. Das ist der Grund, warum QR-Codes aktuell mit Kritik gesehen werden. Doch dabei darf nicht vergessen werden: Die Nutzenden sehen in der Regel die URL des QR-Codes bevor dieser durch Bestätigung ausgeführt wird. Was heißt das? Wir als Nutzende stehen – wie immer – in der Verantwortung und sollten genau hinterfragen was wir wie im Netz tun.
Details zum Lumma Stealer
Der Lumma Stealer ist ein in C geschriebener Informationsdiebstahl-Schädling. Es wird angenommen, dass er vom Bedrohungsakteur „Shamel“ entwickelt wurde, der unter dem Pseudonym „Lumma“ auftritt. Daher der Name Lumma Stealer. Er zielt in erster Linie auf Kryptowährungs-Wallets und Browser-Erweiterungen zur Zwei-Faktor-Authentifizierung (2FA) ab, bevor er schließlich sensible Informationen vom Rechner des Opfers stiehlt. Sobald die Zieldaten erlangt sind, werden sie auf einen Server exfiltriert. Hinweis: Datenexfiltration ist eine Praxis, um wertvolle Informationen aus einem System zu einem böswilligen Zweck unentdeckt auszuschleusen.
Was sagt das BSI?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in seinem Bericht “Die Lage der IT-Sicherheit in Deutschland 2024” vor der zunehmenden Rolle von KI und Sprachmodellen beim Umgehen von Sicherheitsmechanismen wie CAPTCHA. Zwar geht das BSI nicht explizit auf Fake-CAPTCHA ein, doch die zentrale Botschaft ist klar:
Sensibilisierung, Aufklärung und Information der Verbrauchergruppen über Risiken und Sicherheitsmaßnahmen [stehen] im Vordergrund.
Laut Cybersicherheitsmonitor (CyMon) 2024 ist die Anzahl Betroffener, die in den letzten zwölf Monaten einen finanziellen Schaden erlitt um 8% gestiegen im Vergleich zum Vorjahr (2024: 26%, 2023: 18%). Weitere Zahlen aus dem CyMon 2024 zeigen folgendes:
- Betroffenheit:
– 24% der Verbraucher waren bereits Opfer von Cyberkriminalität. Das ist jeder Vierte der Befragten! - Schadensarten:
– Vertrauensverlust: 30%
– Zeitlicher Aufwand: 24%
– Emotionale Belastung: 23%
Vor allem der Aspekt Vertrauensverlust kann gerade für seriöse digitale Angebote im Netz ein erhebliches Problem darstellen.
Was Sie tun können: 5 einfache Schutzmaßnahmen gegen Fake-CAPTCHA
- Misstrauen bei ungewöhnlichen Aufforderungen:
Werden Sie aufgefordert, Befehle über die Tastatur oder sonstwie einzugeben oder nur einzelne Tasten zu drücken? Vorsicht – das ist höchst ungewöhnlich. - URL prüfen:
Kontrollieren Sie immer, ob Sie sich (ggf. noch immer!) auf einer offiziellen und vertrauenswürdigen Webseite befinden. Haben Sie Zweifel, dann rufen Sie in einem neuen Browserfenster die offizielle Webseite auf und navigieren Sie zu der Unterseite wo sie hinmöchten. - Sicherheitssoftware aktuell halten:
Moderne Antiviren-Programme erkennen viele solcher Tricks – aber nur, wenn sie regelmäßig aktualisiert werden. Da sind Sie als Nutzerin und Nutzer in der Pflicht! Was viele nicht wissen, Behörden und auch Banken fordern solche Informationen bei einem Schadensfall bei den Betroffenen im Detail ein. Auch wie sonst die Datensicherheit gewährleistet wird, z.B. im eigenen Netz, im Router oer im gesamten Smart Home. - Werbeblocker nutzen:
Fake-CAPTCHA gelangen über manipulierte Werbebanner ins Sichtfeld der Nutzenden. Nutzen Sie Werbeblocker bzw. lassen Sie sich nicht von Werbung animieren Banner zu drücken. Vermeintlich tolle Angebote finden Sie auch, wenn Sie auf die offizielle Webseite des Anbieters gehen – Sofern sie echt sind! - Informieren und sensibilisieren:
Wissen schützt. Klären Sie auch Kolleginnen und Kollegen, Freunde oder Ihre Familie über diese Masche auf. Bleiben Sie up-to-date und abonnieren Sie beispielsweise Informationskanäle vom BSI.
Und nun?
Fake-CAPTCHA sind mehr als nur ein neuer Trick – sie sind ein Warnsignal. Ein Zeichen dafür, wie kreativ und perfide Cyberangriffe geworden sind. Je realistischer der Betrug aussieht, desto wichtiger ist es, kritisch zu bleiben. Wir als Nutzende sind in der Pflicht uns damit auseinanderzusetzen, uns zu informieren und uns zu schützen. Ob es uns gefällt oder nicht, die Verantwortung liegt bei uns!
Teilen Sie diesen Beitrag, sprechen Sie darüber und machen Sie andere auf das Thema aufmerksam. So tragen wir gemeinsam dazu bei, das Internet ein Stück sicherer zu machen und Schäden zu minimieren.
Schlagwörter: Fake-CAPTCHA, Malware, Cyberkriminalität, Cyber-Crime, BSI, IT-Sicherheit, digitale Transformation
Diesen Beitrag zitieren: Karl, C. [Christian K. Karl]. (2025). Täuschend echt, brandgefährlich: Bedrohung durch Fake-CAPTCHA [Blog-Beitrag]. 24.03.2025. BauVolution, ISSN 2942-9145. online verfügbar
