Bots werden durch die Sicherheitshürde gehindert, nicht aber Cyberkriminelle

Sicherheitsrisiko Captchas

LinkedInRedditWhatsAppPocket

CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart) sind kleine Online-Tests, die angeblich herausfinden sollen, ob die ausgeführte Aktion von einem Menschen oder einem automatisierten Bot-Programm oder Skript durchgeführt wird.

Sie werden benötigt, weil Angreifer im Internet sonst die entsprechenden Dienste missbrauchen könnten, um gefälschte Konten zu erstellen, mit denen sie andere attackieren oder das System einfach auf andere Weise missbrauchen. Nutzer sind gezwungen, mit ihnen zu interagieren, wenn man sich auf Websites registriert oder eine potenziell riskante Aktion durchführt. „Klicken Sie auf alle Bilder, welche Straßenschilder enthalten“ ist ein gängiges Beispiel für einen Captcha. Es funktioniert und hilft bei der Authentifizierung, doch genauso oft funktioniert es eben auch nicht.

Anzeige

Beispiele für Captchas

Es gibt viele verschiedene Arten von Captchas, die von extrem einfach zu lösenden bis hin zu solchen mit mehr Aufwand, letztere sind anfälliger für menschliche Fehler. Mit den folgenden Beispielen wird klar, um was es sich handelt. In ihrer einfachsten Form sind sie einfach ein Kästchen:

Ein Bild, das Text enthält. Automatisch generierte Beschreibung

Nach dem Klick wechselt das Bild und bestätigt, dass es sich um keinen BOT handelt:

Anzeige

Ein Bild, das Text enthält. Automatisch generierte Beschreibung

Einige der Tests fordern dazu auf, Zeichen einzugeben, die so übertrieben und verändert wurden, dass Menschen sie angeblich noch erkennen können, aber ein automatisiertes Programm zur optischen Zeichenerkennung (OCR) nicht.

 

Ein Bild, das Text enthält. Automatisch generierte Beschreibung

 

Es ist davon auszugehen, dass viele Nutzer diese Art von Tests nicht besonders mögen, da es für jeden schwierig sein kann, herauszufinden, was die Zeichen oder Wörter sind. Viele haben dann auf die Schaltfläche „Neues Wort senden“ geklickt.

Einige Captchas (wie das untenstehende), die von Tik Tok verwendet werden, fordern Nutzer einfach auf, zwei ähnliche Objekte auszuwählen.

ruZXU 0dllcZE4uUu5NMmHqNpH j4Bm3O5yQkS4aO8j5ZbVrijd0 NX 7L7jOXOrRBhqSgOTtPaW g02JfzQcuhSHV f5C7L9NnS1n Ck8 X0Yoi5Fdvom9cdp2Sw8H2KGBXIlE

Die kompliziertesten Beispiele sind die, die dazu auffordern, „Klicken Sie auf alle Quadrate…“, die Ampeln, Autos, Verkehrsschilder oder ein anderes vermeintlich gewöhnliches Bild enthalten.

yqv5UfTFnzdDRNPRpfbIT4Fybs wdRWYCCbKy062EeWxsj0hA4l6XK7QaeA mWdW8m6DmH4cDYi17wJSGJrNxApT3GRKPtu9g5Bh6TqhoLvd1l sSm4RrsHO6aq2nhIm1z5aMrI

Das Problem bei dieser Art ist, dass die Blöcke oft ein sehr winziges Stück des gewünschten Objekts enthalten, das oft fast zufällig oder mikroskopisch klein aussieht, und Sie nicht sicher sind, ob es ausgewählt werden soll oder nicht.

Captcha Tricks

Der Grund, warum Captchas nicht verschwinden werden, ist, dass sie funktionieren. Es gab viele Versuche von Cyberkriminellen, die Beantwortung von Captchas in Massen zu automatisieren, einschließlich der Verwendung von maschinellem Lernen, OCR und künstlicher Intelligenz-ähnlichen Tools. Keines von ihnen funktioniert so gut wie ein Mensch. Also lagerten die Angreifer das Lösen von Captchas einfach an Menschen aus. Sie verwenden immer noch Bots und Automatisierung, um sich auf Websites zu registrieren und Konten zu erstellen, aber der gesamte Prozess ist automatisiert. Sie verwenden nicht den normalen Code der betroffenen Website, wie er einem normalen Benutzer beim Surfen im Web angeboten wird. Stattdessen erstellen sie maliziöse Programme, die sich mit der Website oder ihrer Anwendungsprogrammierschnittstelle (API) verbinden, wodurch der gesamte von Menschen lesbare Text entfernt wird und die erforderlichen Kontoregistrierungs-informationen einfach und schnell ausgefüllt werden. Und wenn die Captcha-Komponente angezeigt wird, sendet der Bot nur den Captcha-Teil an echte Nutzer, die von den Hackern bezahlt werden, um ein Captcha-Rätsel nach dem anderen zu lösen. Irgendwo auf der Welt gibt es Teams von Arbeitern, die unermüdlich daran arbeiten, Captchas zu lösen, eines nach dem anderen, so schnell sie können. Die Arbeiter verdienen nur einen winzigen Betrag pro gelöstem Captcha, aber wenn sie hunderte bis tausende von ihnen an einem Tag lösen, können sie ein paar Euro oder einen anständigen Lebensunterhalt für ihre Fähigkeiten in ihrem Teil der Welt verdienen.

Webseiten, die Captchas verwenden, wissen, dass Angreifer Teams von solchen Arbeitern anheuern, um Captchas zu lösen, also wehren sie sich auf viele Arten, einschließlich der Verfolgung der IP-Adressen, die an der Lösung des Captchas beteiligt sind. Wenn zu viele Captchas von einer IP-Adresse gelöst werden, schneiden sie diese IP-Adresse ab oder erlauben ihr nicht mehr, zukünftige Captchas zu lösen. Hacker reagieren darauf, indem sie die verwendeten IP-Adressen ändern.

Frustrierte Angreifer reagieren aber auch, indem sie Captchas zum Lösen an Millionen von unschuldigen Menschen im Internet schickten, jeder mit seiner eigenen individuellen IP-Adresse. Die Cyberkriminellen kompromittieren unschuldige Websites im Internet und anstatt ein bösartiges JavaScript einzufügen, das versucht, Malware zu installieren oder Anmeldedaten zu fälschen, senden sie ein Captcha-Bild, von dem sie hoffen, dass der unglückliche Benutzer es ausfüllt und darauf reagiert.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Bösartige Arten von Captchas

Im Großen und Ganzen sind bösartige Captcha-Umleitungen ein sehr geringes Risiko für den Nutzer. Aber wie Adware können bösartige Captchas ein Stellvertreter dafür sein, wie uns oder unseren Endbenutzern etwas weitaus Bösartigeres präsentiert wird, das, wenn sie es nicht bemerken und klicken, zu etwas weitaus Bösartigerem führen kann. Der Aufwand, den Adware und Captcha-Weiterleitungen benötigen, um einem Endbenutzer präsentiert zu werden, ist derselbe wie bei den viel gefährlicheren Dingen, die sonst präsentiert werden. Das Vorhandensein von Adware auf einem Computer bedeutet, dass ein viel bösartigerer Backdoor-Trojaner oder ein Ransomware-Programm die gleiche Lücke oder den gleichen Trick nutzen könnte. Wenn ein Benutzer „NUR“ Adware hat, hat er einfach Glück gehabt. Es hätte weitaus schlimmer sein können.

Das Gleiche gilt für bösartige Captcha-Weiterleitungen. Zumindest möchte niemand von uns daran beteiligt sein, Captcha-Rätsel für Hacker zu lösen, damit diese bösartigen Konten automatisiert erstellen und weltweit bösartige Dinge tun können. Alle Benutzer sollten sich bewusst sein, dass ihnen potenziell gefährliche Elemente präsentiert werden, die sie bewerten und richtig handhaben müssen, selbst wenn sie auf eine vermeintlich „sichere“ Webseite gehen.

Fazit: Captchas gehören in Sicherheitsschulungen

Mitarbeitern und Nutzern müssen sich möglicher gefährlicher Website-Elemente bewusst sein, die in ihre bevorzugten, legitimen Websites eingefügt werden, und wie sie diese erkennen und darauf reagieren können. Bei der Schulung des Sicherheitsbewusstseins geht es vor allem darum, den Menschen bewusst zu machen, was getan werden kann, wie es aussieht und wie man mit Problemen umgeht. Sicherheitsverantwortliche sollen über potenziell bösartige Captcha-Weiterleitungen informieren, denn wenn Mitarbeiter und Nutzer diese erkennen und vermeiden können, sind sie bei den bösartigeren Webelementen einen Schritt voraus.

 


Roger

Grimes

Data-Driven Defense Evangelist

KnowBe4

Anzeige

Artikel zu diesem Thema

Der Log4J-Marathon wird einen langen Atem der Cyberabwehr brauchen
Business Process Management – Von der Funktion zum Prozess

Weitere Artikel

Cyber-Spionage auf Linux: Neue Backdoors aufgedeckt
Fake Calls im Namen von Amazon und Paypal
Bad Bots werden immer „menschenähnlicher“
Millionen Nutzer:innen durch „Scam-Yourself-Angriffe“ getäuscht
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.