Links in Phishing-Mails ist ein bekannter Trick von Cyberkriminellen, Computer mit Schadsoftware zu infizieren. Jetzt warnen Behörden vor zwei Methoden, die bisher weniger bekannt sind. So schützt ihr euch.
"Ich bin kein Roboter" – solche Abfragen erscheinen mittlerweile auf vielen Webseiten. Eigentlich erfüllen diese sogenannten Captchas eine Schutzfunktion, aber: Cyberkriminelle nutzen diese Abfragen gerade offenbar aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) macht darauf aufmerksam, dass in Captchas teilweise Malware versteckt ist.
Ein Captcha kann auch eine zufällig angeordnete Zahlen- oder Buchstabenfolge sein, die wir in einem Eingabefeld bestätigten müssen, oder auch ein Bilderrätsel, bei dem wir beispielsweise alle Ampeln in einzelnen Fotos anklicken müssen. Wir bestätigen damit, dass wir ein Mensch sind und kein Bot. Eigentlich.
Vorsicht bei Captchas: Keine Tastenkombinationen eingeben!
Betrüger*innen fälschen nun also Captchas und nutzen sie für ihre Zwecke aus. Das geschieht, indem beim Klick auf ein manipuliertes Captcha eine Funktion im Hintergrund ausgeführt wird, die einen Befehl in die Zwischenablage des Computers schreibt. Im Anschluss fordert eine weitere Anweisung dazu auf, eine bestimmte Tasten- oder Zeichenkombination einzugeben.
Das passiert zum Beispiel unter dem Vorwand, erneut zu bestätigen, ein Mensch zu sein. Tatsächlich führt ihr so aber ein Kommando aus, das eine Schadsoftware auf den Computer kopiert und ausführt. Die Angreifenden erhalten so Zugriff auf euren Computer und eure Daten.
So könnt ihr euch schützen
Schutzmaßnahmen vor so einer Captcha-Fall können sein:
- generell nicht unüberlegt Anweisungen folgen
- Browser schließen, sollte auf ein Captcha ein Aufruf zur Eingabe einer bestimmten Tastenkombination folgen
- Zwei-Faktor-Authentifizierung bei wichtigen Diensten aktivieren, zum Beispiel beim Online-Banking
- Browser regelmäßig Updates durchführen lassen
- Virenschutzprogramm installieren und aktuell halten
"Es klingt banal, aber am besten schützt du dich, indem du nicht unüberlegt und in Eile irgendwelchen Anweisungen folgst."
Ein weiterer Punkt auf dieser Liste ist eine gewisse Vorsicht gegenüber kostenlosen Programmen. Das FBI, also die zentrale Sicherheitsbehörde in den USA, warnt vor kostenlosen Filekonvertern.
Kostenlose Konvertierungsseite: besser drauf verzichten
Wer zum Beispiel ein Dokument in eine PDF-Datei umwandeln oder ein Fotoformat von .png auf .jpg anpassen möchte, sollte dafür eine gängige App verwenden anstatt einer kostenlosen webbasierten Version. Denn das FBI warnt davor, dass Cyberkriminelle auch hier Schadsoftware auf die Rechner der Nutzer*innen schleusen können.
Die Methode der Angreifenden ist hier noch schlechter erkennbar als beim Captcha-Trick. Denn die Seite führt die Funktion regulär aus, indem sie beispielsweise ein Word-Dokument in eine PDF umwandelt. Aber im Hintergrund stehlen die Kriminellen sensible Daten wie Geburtsdaten, Telefonnummern, Bankdaten, E-Mail-Adressen oder auch Passwörter.
Auch hier kann Antiviren-Software helfen – und ein Blick auf die Domain der kostenlosen Konvertierungsseite. Einige der Malware-Seiten sind nämlich bereits bekannt. Zudem bieten gängige Computermagazine wie Chip, Heise, Computerbild oder Maclife teilweise auch kostenlose Apps für bestimmte Programme an.