Thought Leadership
CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) sind kleine Online-Tests, die angeblich herausfinden sollen, ob die ausgeführte Aktion von einem Menschen oder einem automatisierten Bot-Programm oder Skript durchgeführt wird.
Sie werden benötigt, weil Angreifer im Internet sonst die entsprechenden Dienste missbrauchen könnten, um gefälschte Konten zu erstellen, mit denen sie andere attackieren oder das System einfach auf andere Weise missbrauchen. Nutzer sind gezwungen, mit ihnen zu interagieren, wenn man sich auf Websites registriert oder eine potenziell riskante Aktion durchführt. „Klicken Sie auf alle Bilder, welche Straßenschilder enthalten“ ist ein gängiges Beispiel für einen Captcha. Es funktioniert und hilft bei der Authentifizierung, doch genauso oft funktioniert es eben auch nicht.
Beispiele für Captchas
Es gibt viele verschiedene Arten von Captchas, die von extrem einfach zu lösenden bis hin zu solchen mit mehr Aufwand, letztere sind anfälliger für menschliche Fehler. Mit den folgenden Beispielen wird klar, um was es sich handelt. In ihrer einfachsten Form sind sie einfach ein Kästchen:
Nach dem Klick wechselt das Bild und bestätigt, dass es sich um keinen BOT handelt:
Einige der Tests fordern dazu auf, Zeichen einzugeben, die so übertrieben und verändert wurden, dass Menschen sie angeblich noch erkennen können, aber ein automatisiertes Programm zur optischen Zeichenerkennung (OCR) nicht.
Es ist davon auszugehen, dass viele Nutzer diese Art von Tests nicht besonders mögen, da es für jeden schwierig sein kann, herauszufinden, was die Zeichen oder Wörter sind. Viele haben dann auf die Schaltfläche „Neues Wort senden“ geklickt.
Einige Captchas (wie das untenstehende), die von Tik Tok verwendet werden, fordern Nutzer einfach auf, zwei ähnliche Objekte auszuwählen.
Die kompliziertesten Beispiele sind die, die dazu auffordern, „Klicken Sie auf alle Quadrate…“, die Ampeln, Autos, Verkehrsschilder oder ein anderes vermeintlich gewöhnliches Bild enthalten.
Das Problem bei dieser Art ist, dass die Blöcke oft ein sehr winziges Stück des gewünschten Objekts enthalten, das oft fast zufällig oder mikroskopisch klein aussieht, und Sie nicht sicher sind, ob es ausgewählt werden soll oder nicht.
Captcha Tricks
Der Grund, warum Captchas nicht verschwinden werden, ist, dass sie funktionieren. Es gab viele Versuche von Cyberkriminellen, die Beantwortung von Captchas in Massen zu automatisieren, einschließlich der Verwendung von maschinellem Lernen, OCR und künstlicher Intelligenz-ähnlichen Tools. Keines von ihnen funktioniert so gut wie ein Mensch. Also lagerten die Angreifer das Lösen von Captchas einfach an Menschen aus. Sie verwenden immer noch Bots und Automatisierung, um sich auf Websites zu registrieren und Konten zu erstellen, aber der gesamte Prozess ist automatisiert. Sie verwenden nicht den normalen Code der betroffenen Website, wie er einem normalen Benutzer beim Surfen im Web angeboten wird. Stattdessen erstellen sie maliziöse Programme, die sich mit der Website oder ihrer Anwendungsprogrammierschnittstelle (API) verbinden, wodurch der gesamte von Menschen lesbare Text entfernt wird und die erforderlichen Kontoregistrierungs-informationen einfach und schnell ausgefüllt werden. Und wenn die Captcha-Komponente angezeigt wird, sendet der Bot nur den Captcha-Teil an echte Nutzer, die von den Hackern bezahlt werden, um ein Captcha-Rätsel nach dem anderen zu lösen. Irgendwo auf der Welt gibt es Teams von Arbeitern, die unermüdlich daran arbeiten, Captchas zu lösen, eines nach dem anderen, so schnell sie können. Die Arbeiter verdienen nur einen winzigen Betrag pro gelöstem Captcha, aber wenn sie hunderte bis tausende von ihnen an einem Tag lösen, können sie ein paar Euro oder einen anständigen Lebensunterhalt für ihre Fähigkeiten in ihrem Teil der Welt verdienen.
Webseiten, die Captchas verwenden, wissen, dass Angreifer Teams von solchen Arbeitern anheuern, um Captchas zu lösen, also wehren sie sich auf viele Arten, einschließlich der Verfolgung der IP-Adressen, die an der Lösung des Captchas beteiligt sind. Wenn zu viele Captchas von einer IP-Adresse gelöst werden, schneiden sie diese IP-Adresse ab oder erlauben ihr nicht mehr, zukünftige Captchas zu lösen. Hacker reagieren darauf, indem sie die verwendeten IP-Adressen ändern.
Frustrierte Angreifer reagieren aber auch, indem sie Captchas zum Lösen an Millionen von unschuldigen Menschen im Internet schickten, jeder mit seiner eigenen individuellen IP-Adresse. Die Cyberkriminellen kompromittieren unschuldige Websites im Internet und anstatt ein bösartiges JavaScript einzufügen, das versucht, Malware zu installieren oder Anmeldedaten zu fälschen, senden sie ein Captcha-Bild, von dem sie hoffen, dass der unglückliche Benutzer es ausfüllt und darauf reagiert.
Bösartige Arten von Captchas
Im Großen und Ganzen sind bösartige Captcha-Umleitungen ein sehr geringes Risiko für den Nutzer. Aber wie Adware können bösartige Captchas ein Stellvertreter dafür sein, wie uns oder unseren Endbenutzern etwas weitaus Bösartigeres präsentiert wird, das, wenn sie es nicht bemerken und klicken, zu etwas weitaus Bösartigerem führen kann. Der Aufwand, den Adware und Captcha-Weiterleitungen benötigen, um einem Endbenutzer präsentiert zu werden, ist derselbe wie bei den viel gefährlicheren Dingen, die sonst präsentiert werden. Das Vorhandensein von Adware auf einem Computer bedeutet, dass ein viel bösartigerer Backdoor-Trojaner oder ein Ransomware-Programm die gleiche Lücke oder den gleichen Trick nutzen könnte. Wenn ein Benutzer „NUR“ Adware hat, hat er einfach Glück gehabt. Es hätte weitaus schlimmer sein können.
Das Gleiche gilt für bösartige Captcha-Weiterleitungen. Zumindest möchte niemand von uns daran beteiligt sein, Captcha-Rätsel für Hacker zu lösen, damit diese bösartigen Konten automatisiert erstellen und weltweit bösartige Dinge tun können. Alle Benutzer sollten sich bewusst sein, dass ihnen potenziell gefährliche Elemente präsentiert werden, die sie bewerten und richtig handhaben müssen, selbst wenn sie auf eine vermeintlich „sichere“ Webseite gehen.
Fazit: Captchas gehören in Sicherheitsschulungen
Mitarbeitern und Nutzern müssen sich möglicher gefährlicher Website-Elemente bewusst sein, die in ihre bevorzugten, legitimen Websites eingefügt werden, und wie sie diese erkennen und darauf reagieren können. Bei der Schulung des Sicherheitsbewusstseins geht es vor allem darum, den Menschen bewusst zu machen, was getan werden kann, wie es aussieht und wie man mit Problemen umgeht. Sicherheitsverantwortliche sollen über potenziell bösartige Captcha-Weiterleitungen informieren, denn wenn Mitarbeiter und Nutzer diese erkennen und vermeiden können, sind sie bei den bösartigeren Webelementen einen Schritt voraus.
