reCAPTCHA missbraucht: Kriminelle schützen ihre Phishing-Seiten

Captcha, Recaptcha, v3
Das von Google bereitgestellte reCAPTCHA-System wird von Kriminellen zunehmend eingesetzt, um genau den gegenteiligen Effekt seiner eigent­lichen Bestimmung zu erreichen. Es schützt Schadinhalte vor anderen Sicherheits-Mechanismen. Auf dieses Problem haben die Sicherheitsforscher von Barracuda Networks hingewiesen, die schon sei einiger Zeit die entsprechenden missbräuchlichen Nutzungen reCAPTCHAs beobachten. Ihnen fielen in den vergangenen Monaten verstärkt Fälle auf, in denen Phishing-Kampagnen durch den Einsatz des Captcha-Dienstes besser vor anderen Sicherheitsmaßnahmen verborgen wurden.

Dabei vollzieht das System eigentlich genau die Aufgabe, zu der man es entwickelte: Es lässt menschliche Nutzer auf die Phishing-Seiten, sperrt aber die automatisierten Scanner der diversen Security-Unternehmen und Browser-Hersteller effektiv aus. Denn diese können die Schranke nicht ohne weiteres überwinden.


Streben nach Microsoft-Accounts

In einem Fall wurde beispielsweise eine Phishing-Kampagne beobachtet, in der die dahinterstehenden Betrüger rund 128.000 E-Mails relativ gezielt an Unternehmen beziehungsweise deren Mitarbeiter verschickten. Hinter der reCAPTCHA-Absicherung befand sich dabei eine gefälschte Microsoft-Login-Seite, über die die Angreifer Zugangsdaten zu den Accounts von Beschäftigten erlangen wollten. Hier verbergen sich immerhin oft reichlich Firmen-Interna, die kommerziell recht gut weitergenutzt werden können.

In anderen Fällen zeigte sich aber noch ein weiterer Effekt als nur die Absicherung vor Security-Scannern: Die meisten Nutzer verbinden mit Googles Captcha-System auch ein gewisses Maß an Sicherheit und Seriösität. Sie sind dann eher geneigt, auch der dahinterstehenden Webseite zu vertrauen, so dass die Betreiber der Phishing-Kampagnen leichter an die gewünschten Daten gelangen können. Hier zeigt sich daher einmal mehr, dass ein aufmerksamer Umgang mit der Technik notwendig ist, weil man sich besser nicht blind auf technische Sicherheits-Maßnahmen verlässt.

Siehe auch:


Captcha, Recaptcha, v3 Captcha, Recaptcha, v3
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:05 Uhr X-Sense Rauchmelder 10 Jahres Batterie, TÜV Zertifiziert, SD2KX-Sense Rauchmelder 10 Jahres Batterie, TÜV Zertifiziert, SD2K
Original Amazon-Preis
17,98
Im Preisvergleich ab
?
Blitzangebot-Preis
14,38
Ersparnis zu Amazon 20% oder 3,60

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden