Anzeige

Captcha

CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) sind kleine Online-Tests, die angeblich herausfinden sollen, ob die ausgeführte Aktion von einem Menschen oder einem automatisierten Bot-Programm oder Skript durchgeführt wird.

Sie werden benötigt, weil Angreifer im Internet sonst die entsprechenden Dienste missbrauchen könnten, um gefälschte Konten zu erstellen, mit denen sie andere attackieren oder das System einfach auf andere Weise missbrauchen. Nutzer sind gezwungen, mit ihnen zu interagieren, wenn man sich auf Websites registriert oder eine potenziell riskante Aktion durchführt. „Klicken Sie auf alle Bilder, welche Straßenschilder enthalten“ ist ein gängiges Beispiel für einen Captcha. Es funktioniert und hilft bei der Authentifizierung, doch genauso oft funktioniert es eben auch nicht.

Beispiele für Captchas

Es gibt viele verschiedene Arten von Captchas, die von extrem einfach zu lösenden bis hin zu solchen mit mehr Aufwand, letztere sind anfälliger für menschliche Fehler. Mit den folgenden Beispielen wird klar, um was es sich handelt. In ihrer einfachsten Form sind sie einfach ein Kästchen:

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung

Nach dem Klick wechselt das Bild und bestätigt, dass es sich um keinen BOT handelt:

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung

Einige der Tests fordern dazu auf, Zeichen einzugeben, die so übertrieben und verändert wurden, dass Menschen sie angeblich noch erkennen können, aber ein automatisiertes Programm zur optischen Zeichenerkennung (OCR) nicht.

 

Ein Bild, das Text enthält.

Automatisch generierte Beschreibung

 

Es ist davon auszugehen, dass viele Nutzer diese Art von Tests nicht besonders mögen, da es für jeden schwierig sein kann, herauszufinden, was die Zeichen oder Wörter sind. Viele haben dann auf die Schaltfläche „Neues Wort senden“ geklickt.

Einige Captchas (wie das untenstehende), die von Tik Tok verwendet werden, fordern Nutzer einfach auf, zwei ähnliche Objekte auszuwählen.

Die kompliziertesten Beispiele sind die, die dazu auffordern, „Klicken Sie auf alle Quadrate...“, die Ampeln, Autos, Verkehrsschilder oder ein anderes vermeintlich gewöhnliches Bild enthalten.

Das Problem bei dieser Art ist, dass die Blöcke oft ein sehr winziges Stück des gewünschten Objekts enthalten, das oft fast zufällig oder mikroskopisch klein aussieht, und Sie nicht sicher sind, ob es ausgewählt werden soll oder nicht.

Captcha Tricks

Der Grund, warum Captchas nicht verschwinden werden, ist, dass sie funktionieren. Es gab viele Versuche von Cyberkriminellen, die Beantwortung von Captchas in Massen zu automatisieren, einschließlich der Verwendung von maschinellem Lernen, OCR und künstlicher Intelligenz-ähnlichen Tools. Keines von ihnen funktioniert so gut wie ein Mensch. Also lagerten die Angreifer das Lösen von Captchas einfach an Menschen aus. Sie verwenden immer noch Bots und Automatisierung, um sich auf Websites zu registrieren und Konten zu erstellen, aber der gesamte Prozess ist automatisiert. Sie verwenden nicht den normalen Code der betroffenen Website, wie er einem normalen Benutzer beim Surfen im Web angeboten wird. Stattdessen erstellen sie maliziöse Programme, die sich mit der Website oder ihrer Anwendungsprogrammierschnittstelle (API) verbinden, wodurch der gesamte von Menschen lesbare Text entfernt wird und die erforderlichen Kontoregistrierungs-informationen einfach und schnell ausgefüllt werden. Und wenn die Captcha-Komponente angezeigt wird, sendet der Bot nur den Captcha-Teil an echte Nutzer, die von den Hackern bezahlt werden, um ein Captcha-Rätsel nach dem anderen zu lösen. Irgendwo auf der Welt gibt es Teams von Arbeitern, die unermüdlich daran arbeiten, Captchas zu lösen, eines nach dem anderen, so schnell sie können. Die Arbeiter verdienen nur einen winzigen Betrag pro gelöstem Captcha, aber wenn sie hunderte bis tausende von ihnen an einem Tag lösen, können sie ein paar Euro oder einen anständigen Lebensunterhalt für ihre Fähigkeiten in ihrem Teil der Welt verdienen.

Webseiten, die Captchas verwenden, wissen, dass Angreifer Teams von solchen Arbeitern anheuern, um Captchas zu lösen, also wehren sie sich auf viele Arten, einschließlich der Verfolgung der IP-Adressen, die an der Lösung des Captchas beteiligt sind. Wenn zu viele Captchas von einer IP-Adresse gelöst werden, schneiden sie diese IP-Adresse ab oder erlauben ihr nicht mehr, zukünftige Captchas zu lösen. Hacker reagieren darauf, indem sie die verwendeten IP-Adressen ändern.

Frustrierte Angreifer reagieren aber auch, indem sie Captchas zum Lösen an Millionen von unschuldigen Menschen im Internet schickten, jeder mit seiner eigenen individuellen IP-Adresse. Die Cyberkriminellen kompromittieren unschuldige Websites im Internet und anstatt ein bösartiges JavaScript einzufügen, das versucht, Malware zu installieren oder Anmeldedaten zu fälschen, senden sie ein Captcha-Bild, von dem sie hoffen, dass der unglückliche Benutzer es ausfüllt und darauf reagiert.

Bösartige Arten von Captchas

Im Großen und Ganzen sind bösartige Captcha-Umleitungen ein sehr geringes Risiko für den Nutzer. Aber wie Adware können bösartige Captchas ein Stellvertreter dafür sein, wie uns oder unseren Endbenutzern etwas weitaus Bösartigeres präsentiert wird, das, wenn sie es nicht bemerken und klicken, zu etwas weitaus Bösartigerem führen kann. Der Aufwand, den Adware und Captcha-Weiterleitungen benötigen, um einem Endbenutzer präsentiert zu werden, ist derselbe wie bei den viel gefährlicheren Dingen, die sonst präsentiert werden. Das Vorhandensein von Adware auf einem Computer bedeutet, dass ein viel bösartigerer Backdoor-Trojaner oder ein Ransomware-Programm die gleiche Lücke oder den gleichen Trick nutzen könnte. Wenn ein Benutzer „NUR“ Adware hat, hat er einfach Glück gehabt. Es hätte weitaus schlimmer sein können.

Das Gleiche gilt für bösartige Captcha-Weiterleitungen. Zumindest möchte niemand von uns daran beteiligt sein, Captcha-Rätsel für Hacker zu lösen, damit diese bösartigen Konten automatisiert erstellen und weltweit bösartige Dinge tun können. Alle Benutzer sollten sich bewusst sein, dass ihnen potenziell gefährliche Elemente präsentiert werden, die sie bewerten und richtig handhaben müssen, selbst wenn sie auf eine vermeintlich „sichere“ Webseite gehen.

Fazit: Captchas gehören in Sicherheitsschulungen

Mitarbeitern und Nutzern müssen sich möglicher gefährlicher Website-Elemente bewusst sein, die in ihre bevorzugten, legitimen Websites eingefügt werden, und wie sie diese erkennen und darauf reagieren können. Bei der Schulung des Sicherheitsbewusstseins geht es vor allem darum, den Menschen bewusst zu machen, was getan werden kann, wie es aussieht und wie man mit Problemen umgeht. Sicherheitsverantwortliche sollen über potenziell bösartige Captcha-Weiterleitungen informieren, denn wenn Mitarbeiter und Nutzer diese erkennen und vermeiden können, sind sie bei den bösartigeren Webelementen einen Schritt voraus.

 

Roger Grimes, Data-Driven Defense Evangelist
Roger Grimes
Data-Driven Defense Evangelist, KnowBe4

Artikel zu diesem Thema

Blatt auf Platine
Feb 19, 2021

Verantwortungsvolle KI für Europa (Teil 1/2)

Künstliche Intelligenz (KI) kann das Leben der Menschen besser machen. Aber wie gelangen…
Feb 15, 2021

Mehr Sicherheit und bessere User Experience durch Integration von Verhaltensbiometrie

Biometrische Authentifizierungslösungen werden immer häufiger eingesetzt. Neben…

Weitere Artikel

Hackerangriff

Best of Hacks: Highlights März 2021

Im März rücken unter anderem die Europäische Bankenauf-sichtsbehörde EBA und der PC-Hersteller Acer in den Fokus von Cyberkriminellen. Sicherheitslücken machten zudem unbefugte Zugriffe beim Sicherheitsunternehmen Verkada und bei mehreren Testzentren in…
Hacker Corona

Warnung vor betrügerischer E-Mail Kampagne mit Pfizer-Corona-Impfumfrage

Mit dem vermeintlichen Absender Pfizer und unter dem Vorwand, Umfragen zum Thema Corona-Impfstoffe durchzuführen, haben Betrüger seit April persönliche Daten und möglicherweise auch Geld von mehr als 200.000 Verbrauchern erbeutet.
Bot

Emotet ist tot! ­ Lang lebe Qbot!

Der aktuelle Bedrohungsreport von G DATA zeigt, dass Cyberkriminelle bereits einen Nachfolger für Emotet gefunden haben: Qbot. Bei fast jedem vierten abgewehrten Angriff war die Schadsoftware mit von der Partie. Die Zahlen belegen, dass im ersten Quartal…
Ransomware

Massiver Ransomware-Angriff auf Pipeline-Betreiber

Am Wochenende vermeldeten internationale Medien einen Cyberangriff (Ransomware-Attacke mit einer beute von rund 100 Gigabyte) auf den größten Pipeline-Betreiber in den USA, Colonial Pipeline, der dessen Betrieb lahmlegte.
Phishing

Finanzdienstleister im Visier: 125 Prozent mehr Phishing-Angriffe im Jahr 2020

Lookout, ein Unternehmen für integrierte Endpoint-to-Cloud-Sicherheit, veröffentlicht aktuell einen Bericht, aus dem hervorgeht, dass sich das Risiko für mobiles Phishing bei Finanzdienstleistern und Versicherungen zwischen 2019 und 2020 verdoppelt hat.
Passwortmanagement

Passwörter öffnen Hackern Tür und Tor

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.