IT-Sicherheit

Fake-Captchas locken in die Falle

BSI warnt akut vor Angriffen mit gefälschten Captchas

von 02.04.2025
Zu sehen ist ein junger Mann in dreifacher Ausführung, der vor einem Zahlencode steht. Es geht um das Thema Fake-Captchas. Bild Pexels/Darlene Alderson
Cyberkriminelle lassen Fake-Captchas täuschend echt aussehen. Pexels/Darlene Alderson

Fake-Captchas sind ein gefährlicher Trick, mit dem Cyberkriminelle Nutzer gezielt in die Falle locken. Hinter harmlos wirkenden Sicherheitsabfragen verbirgt sich in Wahrheit ein Malware-Angriff.

Wir zeigen, wie die Betrugsmasche funktioniert – und wie Sie sich davor schützen.

Inhaltsverzeichnisexpand_more
  1. Kleiner Klick mit großen Folgen
  2. Was sind Fake-Captchas?
  3. Fake-Captchas: mögliche Schäden sind enorm
  4. Qakbot-Malware mit unechten Captchas verteilt
  5. So schützen Sie sich vor gefälschten Captchas
  6. IT-Experten bieten zusätzlichen Schutz

Kleiner Klick mit großen Folgen

„Ich bin kein Roboter“ – diesen Satz haben Sie sicher schon unzählige Male gelesen. Ob beim Login, vor dem Abschicken eines Formulars oder beim Zugriff auf Online-Dienste: Bilderrätsel und Zahlenabfragen, sogenannte Captchas, gehören heute zum Alltag im Netz. Sie sollen dabei helfen, Bots zu blockieren und Nutzer zu schützen. Grundsätzlich also eine gute Sache.

Genau dieses Sicherheitsmerkmal wird jetzt allerdings von Cyberkriminellen ausgenutzt – und zwar zunehmend stark. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine aktuellen Beobachtungen diesbezüglich bereits zum Anlass genommen, vor der neuen Betrugsmasche zu warnen. Und auch das Technologieunternehmen HP warnt in seinem aktuellen HP Threat Insights Report vor einer Zunahme der Bedrohung. Aber worum geht es überhaupt genau?

Angreifer setzen verstärkt auf Fake-Captchas, um Schadsoftware zu verbreiten, und nutzen in diesem Zuge gezielt die Tatsache aus, dass viele Menschen längst an wiederholte Sicherheitsabfragen im Netz gewöhnt sind – ein Verhalten, das HP als „Klick-Toleranz“ beschreibt. Worin genau die Gefahr besteht und welchen Risiken Unternehmen durch diese Entwicklung ausgesetzt sind, lesen Sie hier bei uns!

Zu sehen ist eine Hand, die die Computer-Maus bedient. Es geht um das Thema Fake-Captchas. Bild: Pexels/Lex Photography

Fake-Captchas sind eine zunehmende Bedrohungslage. Pexels/Lex Photography

Was sind Fake-Captchas?

Wie der Name bereits verrät, sind Fake-Captchas keine echten Schutzmechanismen. Sie orientieren sich optisch häufig an Googles weit verbreitetem Captcha-Dienst, der eigentlich dem Schutz vor automatisierten Zugriffen dient. Über Werbebanner oder manipulierte Skripte gelangen die gefälschten Captchas auf Webseiten und ahmen bekannte Nutzeraufgaben täuschend echt nach.

Während reguläre Captchas dazu auffordern, etwa Bilder von Ampeln, Zebrastreifen oder Autos auszuwählen, fordern gefälschte Captchas Nutzer zu verdächtigen Systemaktionen auf – etwa dazu, die Tastenkombination Win + R zu drücken, die Windows-Kommandozeile zu öffnen und dort einen zuvor unbemerkt in die Zwischenablage kopierten Befehl auszuführen. Genau dieser Vorgang führt in vielen Fällen zur unbemerkten Installation von Schadsoftware oder Infostealern. Die Angreifer erhalten so Zugriff auf die Computer und Daten ihrer Opfer.

Fake-Captchas: mögliche Schäden sind enorm

Das Problem: Ein Klick auf ein Fake-Captcha kann weitreichende Folgen haben – und das häufig unbemerkt. In vielen Fällen wird im Hintergrund eine Schadsoftware installiert, die darauf ausgelegt ist, sensible Daten abzugreifen, Systeme zu kompromittieren oder vollständige Kontrolle zu übernehmen. Je nach Art der eingeschleusten Malware können dabei unter anderem folgende Schäden auftreten:

  • Passwörter, Login-Daten, gespeicherte Zugangsinformationen und interne Dateien werden unbemerkt ausgelesen.
  • Infostealer übertragen die gesammelten Informationen in Echtzeit an externe Server – meist in kriminelle Netzwerke.
  • Ransomware kann die gesamte Datenstruktur eines Unternehmens verschlüsseln und anschließend Lösegeld einfordern.
  • Eine eingeschleuste Backdoor gibt Angreifern dauerhaft Zugang – auch nach einem Neustart oder dem Austausch einzelner Programme.
  • Eine Botnet-Integration verwandelt infizierte Systeme in fremdgesteuerte Komponenten, etwa für DDoS-Angriffe.

Hinzu kommen indirekte Schäden: Betriebsunterbrechungen, der Verlust von Kundendaten oder interne Ermittlungen kosten Zeit, Geld und Vertrauen. Besonders kritisch wird es, wenn durch die Infektion auch personenbezogene Daten betroffen sind – denn dann greifen Meldepflichten nach der DSGVO.

Zu sehen ist ein Konferenzraum mit mehreren Personen, die zu einer Person nach vorne schauen. Bild: Pexels/Christina Morillo

Zum Schutz vor Fake-Captchas gehört auch die Sensibilisierung der Mitarbeiter. Pexels/Christina Morillo

Beispiel: falsche Captchas verteilen Qakbot-Malware

Ein Beispiel für Schadsoftware, die bei Fake-Captchas verteilt wird, ist ein Trojaner namens Qakbot (auch bekannt als Qbot und Pinkslipbot). Die Malware ist nicht unbekannt – es gibt sie nämlich schon seit 2008. In 2023 gelang internationalen Ermittlern ein bedeutender Schlag gegen das Qakbot-Netzwerk, allerdings konnte Ende 2023 bereits eine Phishing-Kampagne beobachtet werden, bei der die Hinterleute den Wiederaufbau des Botnetzes versuchten.

Dann kehrte aber doch lange Zeit Ruhe ein: Erst Anfang 2025 sind Experten von Darkatlas erneut auf Qakbot gestoßen – dieses Mal hat es die Malware auf Windows-Geräte abgesehen. Und sie wird neuerdings über Fake-Captchas verbreitet, wodurch das Risiko einer Infizierung entsprechend hoch ist. Und auch die Auswirkungen im Falle einer Infizierung können gravierend sein.

Denn: Die wesentlichen Funktionen des Schadprogramms sind das Ausspähen der Daten des Betroffenen, die Manipulation des Online-Bankings und das Nachladen weiterer Schadsoftware. Nachgeladene Ransomware wird genutzt, um das betroffene Computersystem zu verschlüsseln und das Opfer anschließend zu erpressen. Diese Gefahr möchte wohl kein Unternehmen freiwillig eingehen…

So schützen Sie sich vor gefälschten Captchas

Um sich wirksam vor Fake-Captchas zu schützen, sind grundsätzlich sowohl spezifische IT-Sicherheitsmaßnahmen als auch eine stetige Sensibilisierung der Mitarbeiter erforderlich. Hier sind einige sinnvolle Maßnahmen, die Unternehmen durchführen sollten:

  • Hinterfragen Sie Anweisungen im Netz stets kritisch – insbesondere dann, wenn ungewöhnliche oder systemnahe Aktionen verlangt werden. Dies gilt nicht nur bei Fake-Captchas, sondern immer!
  • Schließen Sie den Browser sofort, sobald ein Captcha Sie zur Eingabe von Tastenkombinationen wie Win + R auffordert.
  • Schützen Sie Ihre Online-Dienste – insbesondere Online-Banking, Social-Media-Plattformen oder geschäftliche Accounts – mit einer Zwei-Faktor-Authentifizierung.
  • Nutzen Sie ein professionelles Antivirenprogramm – und halten dieses konsequent auf dem aktuellen Stand.
  • Melden Sie auffällige Captchas oder verdächtige Websites sofort der IT-Abteilung.
  • Informieren Sie sich selbst und Ihre Mitarbeiter regelmäßig über aktuelle Betrugsmaschen.

Behalten Sie dabei immer im Hinterkopf: Cyberkriminelle nutzen die visuelle Vertrautheit klassischer Captchas gezielt aus. Fake-Captchas ahmen bekannte Designs nach, um glaubwürdig zu wirken. Folgen Sie also nicht unüberlegt und in Eile irgendwelchen Anweisungen!

IT-Experten bieten zusätzlichen Schutz

Die aktuelle Angriffsmethode mit Fake-Captchas zeigt wieder einmal sehr anschaulich, wie raffiniert und überzeugend moderne Cyberangriffe inzwischen gestaltet sind. Hacker nutzen vertraute Oberflächen, manipulieren alltägliche Internetfunktionen und treffen dabei auf die größte Schwachstelle – menschliche Gewohnheiten.

Der Schutz vor dieser Art von Bedrohung erfordert daher mehr als nur den Einsatz einer Antivirensoftware. Entscheidend ist ein ganzheitlicher Sicherheitsansatz, der moderne Lösungen mit gezielter Aufklärung verbindet. Die Experten aus dem IT-SERVICE.NETWORK unterstützen Sie genau dabei: Sie helfen Ihnen, Ihre IT-Infrastruktur rundum abzusichern – mit passenden Sicherheitslösungen, fundierter Beratung und praxisnaher Sensibilisierung für Ihre Mitarbeiter. Sie möchten Ihre IT gern besser gegen Cyberbedrohungen aufstellen? Nehmen Sie Kontakt zu einem unserer Systemhäuser in Ihrer Nähe auf und informieren Sie sich!

Weiterführende Informationen:
heise online, heise online, BSI, Deutschlandfunk Nova, it-daily.net

Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Geschrieben von

Theresa Twillemeier begann 2021 das Content-Team zu verstärken. Gegenwärtig arbeitet sie als Junior Marketing Managerin für die Marke, schreibt aber immer noch gern Blogbeiträge. Die studierte Ökonomin und Kulturanthropologin schreibt für den IT-SERVICE.NETWORK-Blog mit dem Ziel, komplexe IT-Themen verständlich an die Leserschaft zu bringen. In ihrer Freizeit findet man sie mit ihren Hunden in der… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

File Converter bergen Gefahr

Fake-Tools verbreiten Malware – FBI spricht Warnung aus

von • 16.04.2025

Kostenlose File Converter wirken praktisch – doch sie können beim Konvertieren der Dateien gefährliche Schadsoftware einschleusen. So erhalten Hacker mühelos Zugriff auf persönliche Daten.  ...

Weiterlesen
IT-Sicherheit

Clickjacking bedroht Unternehmen

Versteckte Klickangriffe lauern im Netz auf Opfer

von • 09.04.2025

Clickjacking ist eine besonders perfide Angriffsmethode im Netz. Dabei werden Nutzer unbemerkt dazu gebracht, Aktionen auszuführen, die sie gar nicht beabsichtigt haben. Wir werfen einen Blick dar...

Weiterlesen
IT-Sicherheit

Fake-Captchas locken in die Falle

BSI warnt akut vor Angriffen mit gefälschten Captchas

von • 02.04.2025

Fake-Captchas sind ein gefährlicher Trick, mit dem Cyberkriminelle Nutzer gezielt in die Falle locken. Hinter harmlos wirkenden Sicherheitsabfragen verbirgt sich in Wahrheit ein Malware-Angriff. W...

Weiterlesen