reCaptcha-Abfragen: Kein Mensch, kein Bot – ein Hacker!

Neue Phishing-Methode manipuliert vermehrt reCaptcha-Abfragen.

Auch wenn die stationären Geschäfte langsam wieder öffnen, der Online-Kauf hat wegen der aktuellen Ausgangsbeschränkungen Hochkonjunktur. Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß immer wieder neue Methoden, persönliche oder Unternehmensdaten abzugreifen. Seit kurzem fällt auf, dass Hacker in Phishing-Kampagnen zum Zweck der Manipulation von E-Mail-Konten zunehmend reCaptcha-Mauern einsetzen. Damit wollen sie verhindern, dass automatisierte URL-Analysesysteme auf den eigentlichen Inhalt von Phishing-Seiten zugreifen können.

reCaptcha ist ein von Google betriebener Sicherheitsdienst, der prüft, ob eine bestimmte Handlung im Internet von einem Menschen oder von einem Computerprogramm beziehungsweise einem Bot vorgenommen wird. Das Akronym steht für »Completely Automated Public Turing test to tell Computers and Humans Apart (Vollständig automatisierter öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen). Der Turing-Test geht zurück auf Alan Turing, der im Jahr 1950 der Frage nachging, ob ein Computer beziehungsweise eine Maschine, ein dem Menschen gleichwertiges Denkvermögen besäße.

Endbenutzer sind in der Regel sehr vertraut mit dieser Sicherheitsabfrage seriöser Unternehmen, die sie auffordert, ein reCaptcha zu lösen und damit zu klären, dass es sich um einen Menschen handelt. Entsprechend glaubwürdig kommt eine böswillige Phishing-Webseite daher, die ein echtes reCaptcha missbraucht, um den Benutzer auszutricksen.

 

Anzeige

128.000 E-Mail mit gefälschten Microsoft-Log-ins

Während einige Methoden die reCaptcha-Box nur simulieren, wird die Verwendung der genuinen reCaptcha-API immer üblicher. Ein zweifellos wirksamerer Ansatz, um automatisierte Scanner zu täuschen, da eine nur gefälschte reCaptcha-Box recht einfach identifizierbar wäre. Entsprechend haben Barracuda-Sicherheitsanalysten im April lediglich eine E-Mail mit einer gefälschten reCaptcha-Box identifiziert, jedoch über 100.000 E-Mails, die die echte reCaptcha-API verwendeten, entdeckt.

Bei einem Phishing-Angriff auf E-Mail-Konten wurden im gleichen Zeitraum mehr als 128.000 E-Mails verschickt, die gefälschte Microsoft-Anmeldeseiten zeigten. Darin wird mitgeteilt, der Benutzer habe eine Sprachnachricht erhalten.

Zudem enthielten diese E-Mails einen HTML-Anhang, der auf eine Seite mit einer reCaptcha-Mauer weiterleitet.

Anzeige

Die Seite enthält nichts anderes als das reCaptcha. Da dieses Format auch für legitime reCaptchas gebräuchlich ist, hat die Täuschung beste Chancen, keinen Argwohn beim Benutzer aufkommen zu lassen.

Sobald der Benutzer jedoch das reCaptcha löst, wird er auf die eigentliche Phishing-Seite umgeleitet, die wiederum das Aussehen einer gewöhnlichen Microsoft-Anmeldeseite imitiert. Auch, wenn das Erscheinungsbild der Seite mit dem legitimen Mailserver des Benutzers nicht übereinstimmen mag, ist es für den Angreifer durchaus möglich, weitere Informationen zu erhalten, um die Phishing-Seite für spätere Zwecke noch überzeugender zu gestalten.

Einem reCaptcha nicht bedingungslos vertrauen

Es ist unabdingbar, die Benutzer vor der Bedrohung durch böswillige reCaptcha-Mauern aufzuklären und ihnen zu vergegenwärtigen, einem reCaptcha nicht bedingungslos zu vertrauen und blind davon auszugehen, dass die dahinterliegende Seite sicher sei. Es ist unbedingt notwendig, sich das reCaptcha genauer anzusehen und auf Anomalien zu überprüfen. Wie bei jedem E-Mail-basierten Phishing hilft die Suche nach verdächtigen Absendern, URLs und Anhängen, einen Angriff zu erkennen, bevor sie auf das reCaptcha gelangen. Auch ein reCaptcha, das einem neu erscheint, da vorher keine legitime re-Captcha-Abfrage bestand, sollte den Benutzer alarmieren.

Beispiel eines böswilligen reCaptcha.

 

Eine Schulung des Sicherheitsbewusstseins der Benutzer ist eine solide Basis dafür, Phishing-Angriffe frühzeitig zu erkennen. Denn die E-Mail selbst ist immer noch ein Phishing-Angriff und kann von E-Mail-Security-Lösungen erkannt werden. Letztendlich wird jedoch keine Sicherheitslösung alles abfangen, deshalb ist die Fähigkeit der Benutzer, verdächtige E-Mails und Websites zu erkennen, entscheidend.

Dr. Klaus Gheri, General Manager Network Security bei Barracuda Networks

 

Sicheres Online-Dating durch Kommunikations-APIs

Der Grundgedanke des Datings hat sich über die Jahre kaum verändert: Man schreibt sich Nachrichten, plaudert am Telefon und überlegt gemeinsam, wie und wo man sich treffen könnte. Bis es tatsächlich zum Date kommt, steigt die Spannung kontinuierlich. Eines ist allerdings anders: Heute findet Dating meist über Dating-Apps statt. Das hat den Vorteil, dass die…

Tipps für sichere Passwörter: Jeder dritte Onliner nutzt dasselbe Passwort für mehrere Dienste

Wenn es um Passwörter geht, setzen viele Internetnutzer eher auf Bequemlichkeit als auf Sicherheit. Mehr als jeder dritte Onliner (36 Prozent) in Deutschland nutzt für mehrere Online-Dienste das gleiche Passwort. Das ist das Ergebnis einer repräsentativen Umfrage im Auftrag des Digitalverbands Bitkom unter mehr als 1.000 Internetnutzern in Deutschland. »Ein einziges Passwort für mehrere Online-Dienste…

Schutz vor Internetbetrug

Mit zunehmender Anzahl der Internetnutzer steigt die Anzahl der Betrüger, die versuchen, illegal Geld zu verdienen. Ein interessantes Merkmal von Online-Betrug ist, dass viele Methoden eigentlich keine Gesetzesverletzung darstellen und die Staatsanwaltschaft somit keine Betrüger strafrechtlich verfolgen kann, deswegen haben viele Internetnutzer auch Angst, ihr Glück zu versuchen, wenn Sie lukrative Boni oder die besten…

Identitätsnachweis: Sechs Tipps zur nachhaltigen Betrugsprävention

Betrug hat viele Gesichter. Ob am Telefon, im Internet oder an der Ladentheke. Mit dem technologischen Fortschritt werden die Methoden der Betrüger immer ausgefeilter – glücklicherweise jedoch auch die Lösungen zur Betrugsprävention. Heiner Kruessmann, Director Sales Enterprise DACH Nuance hat sechs Tipps für Unternehmen.   Sprachbiometrie ist die Zukunft Der traditionelle Identitätsnachweis, zum Beispiel durch…

Sicherheitstipps gegen Datenverlust und Identitätsdiebstahl

Jeder zweite Internetnutzer ist nach einer jüngsten Umfrage des Branchenverbandes Bitkom inzwischen von Cyberkriminalität betroffen: »Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen Daten oder die Weitergabe ihrer Daten an…

Eine Hälfte der Internetnutzer ist von Cyberkriminalität betroffen

50 Prozent der Internetnutzer waren 2018 Opfer von Cyberkriminalität. 23 Prozent klagten über illegale Datennutzung. Jeder Zehnte wurde online angegriffen oder beleidigt. Datendiebstahl, Identitätsklau, Beleidigung oder Betrug: Kriminelle finden zunehmend Opfer im Internet. Jeder zweite Internetnutzer (50 Prozent) war im vergangenen Jahr Opfer von Cyberkriminalität. Am häufigsten klagen Onliner über die illegale Verwendung ihrer persönlichen…

Alleinerziehend, attraktiv und leider einsam?

2,7 Millionen Alleinerziehende stemmen Kindererziehung, Haushalt und den Job täglich allein. Häufig an der Belastungsgrenze bleibt kaum Zeit und vielfach kein Budget, um auf Partnersuche zu gehen. Mit dem innovativen LemonSwan-Ansatz möchte Arne Kahlke diese Zahl drastisch reduzieren. Wie? Alleinerziehende entscheiden sich für die kostenlose PartnerFairmittlung LemonSwan. 20 Jahre der Online-Partnervermittlung haben den Trend steigender…

Online-Dating: Internet wird immer wichtiger bei der Suche nach dem richtigen Partner

Die wenigsten deutschen Singles streben derzeit keine langfristige Beziehung an. Das geht aus einer repräsentativen Erhebung von Statista für die Partnervermittlung LemonSwan hervor. Bei der Marktforschung rund um die Themen Liebe und Kennenlernen decken die Unternehmen auf, was Singles wirklich wollen. So wünschen sich derzeit etwa 75 Prozent der Singles eine feste Partnerschaft. Allerdings sind…

Guter Vorsatz: Bessere Passwörter nutzen

■ Jeder Dritte nutzt nur ein Passwort für mehrere Dienste. ■ Bitkom gibt Hinweise zum besseren Schutz gegen Cyberkriminelle.   »hallo«, »passwort« oder »123456« – bei der Wahl ihrer Passwörter vertrauen viele Menschen auf einfache Kombinationen. Jeder dritte Internetnutzer (32 Prozent) in Deutschland gibt außerdem an, dass er für mehrere Online-Dienste das gleiche Passwort nutzt.…

Dating Sevices: Das Geschäft mit dem Online-Liebesglück

17 Prozent der Deutschen (ab 16 Jahren) werden im laufenden Jahr Geld für Dating Services im Internet ausgeben. Das geht aus einer aktuellen Erhebung des Statista Digital Market Outlook hervor. Darunter fallen Partnervermittlungen (z.B. Elitepartner, Parship), Singlebörsen (z.B. Love Scout 24, Neu.de) und Casual-Dating-Angebote (z.B. Tinder). Das Gesamtvolumen des deutschen Marktes taxieren die Statista-Analysten auf…

Online-Dating? Aber sicher! Sieben Tipps für den sicheren Online-Flirt

Wenn die Natur durchstartet und sich die Sonne wieder öfter sehen lässt, ist endlich Frühling. Dieser bringt nicht nur die Bäume zum Ausschlagen und die Knospen zum Blühen, sondern sorgt auch beim Menschen für die sprichwörtlichen Frühlingsgefühle. Wer sich jetzt nach der großen Liebe sehnt, sucht sie immer öfter online. Aber wie man weiß, trüben…

Handynutzer schützen ihre Geräte besser

Viele Nutzer von Mobiltelefonen schützen ihre Geräte sehr viel besser vor unbefugten Zugriffen als noch vor zwei Jahren. Knapp drei Viertel der Handynutzer (72 Prozent) verwenden Sicherheitsmechanismen wie Passwort-, Muster- oder Codeabfragen nach kurzen Nutzungspausen. 2012 hatte erst jeder Dritte (33 Prozent) eine solche zusätzliche Abfrage aktiviert. Das ergab eine aktuelle Umfrage im Auftrag des…