Thought Leadership
Cyberkriminelle nutzen zunehmend Plattformen für KI-gestützte Webentwicklung, um gefälschte CAPTCHA-Seiten zu hosten.
Diese Seiten täuschen Nutzer und leiten sie auf Phishing-Websites, wie Sicherheitsforscher von Trend Micro herausgefunden haben.
CAPTCHA als Sicherheitsmechanismus unterwandert
CAPTCHAs – die bekannten „Ich bin kein Roboter“-Tests – dienen dazu, Bots von echten Nutzern zu unterscheiden. Sie gehören zu den gängigsten Mitteln, um automatisierte Angriffe abzuwehren. Doch neue Erkenntnisse zeigen, dass diese Methode nun von Angreifern ausgenutzt wird, um Phishingkampagnen zu starten.
Seit Januar beobachten die Forscher einen Anstieg von Angriffen, bei denen Plattformen wie Lovable, Netlify oder Vercel für das Hosting gefälschter CAPTCHA-Seiten verwendet werden. Diese Seiten erscheinen zunächst harmlos, leiten Nutzer aber im Hintergrund auf Websites weiter, die Anmeldedaten und andere sensible Informationen abgreifen.
Funktionsweise der Angriffe
Die Phishingkampagnen starten meist mit Spam-E-Mails, die dringende Handlungen suggerieren – zum Beispiel „Passwort zurücksetzen“ oder „Änderung der Lieferadresse bei USPS“. Nutzer klicken auf einen Link und landen auf einer scheinbar normalen CAPTCHA-Seite. Da die Seite vertrauenswürdig wirkt, sinkt die Vorsicht der Nutzer.
Automatisierte Sicherheits-Scanner stoßen auf der Seite ebenfalls nur auf das CAPTCHA, nicht auf das dahinterliegende Formular zur Datenerfassung. Erst nach dem Abschluss des CAPTCHA werden die Opfer zur eigentlichen Phishing-Seite weitergeleitet. Dort können die Angreifer dann Passwörter, Zugangsdaten oder andere persönliche Informationen abgreifen.
Niedrige technische Hürden erleichtern Angriffe
Problematisch ist, dass das Erstellen solcher gefälschten CAPTCHA-Seiten nur geringe technische Kenntnisse erfordert. Tools wie Low-Code-Plattformen oder KI-gestützte Coding-Assistenten reichen aus, um solche Seiten schnell und kostengünstig zu erstellen.
Trend Micro weist darauf hin, dass diese Dienste zwar Innovationen für legitime Entwickler fördern, gleichzeitig aber Cyberkriminellen ermöglichen, Phishing-Angriffe in großem Maßstab zu starten.
Organisationen können das Risiko mindern, indem sie Mitarbeitende schulen, verdächtige URLs kritisch prüfen und Passwortmanager ohne automatische Eingabe nutzen. Ebenso wichtig ist, auffällige Seiten umgehend zu melden, um Schäden zu verhindern.
