Kriminalität: Phishing mit reCaptcha

Immer mehr Phishing -Webseiten schützen ihre Inhalte vor dem Zugriff durch Sicherheitssoftware - mit Googles reCaptcha .

4. Mai 2020 um 12:50 Uhr / Moritz Tremmel

17 Kommentare News folgen (öffnet im neuen Fenster)

Phisher nutzen reCaptchas. (Bild: Tumisu/Simon Steinberger/Pixabay/Montage: Golem.de) — Phisher nutzen reCaptchas. Bild: Tumisu/Simon Steinberger/Pixabay/Montage: Golem.de

Damit Phishing-Webseiten nicht von URL-Scan-Diensten als solche erkannt werden, setzen die kriminellen Betreiber immer häufiger auf einen einfachen Trick: Sie nutzen Captchas. Laut der Sicherheitsfirma Barracuda(öffnet im neuen Fenster) schützen immer mehr Phishing-Webseiten ihre Inhalte mit Googles reCaptcha. Neben dem Unterbinden von automatisierten Scans führe der Einsatz von reCaptchas sogar zur Erhöhung der Glaubwürdigkeit und damit der Wahrscheinlichkeit, dass die Nutzer ausgetrickst werden, schreibt Barracuda.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Java-Softwareentwickler/-innen (m/w/d) Bundesamt für Familie und zivilgesellschaftliche Aufgaben, Köln (öffnet im neuen Fenster)

IT Helpdesk Techniker (m/w/d) Temposonics GmbH & Co. KG, Lüdenscheid (öffnet im neuen Fenster)

IT Architekt Infrastruktur (m/w/d) Professional SWE Digital GmbH, Erfurt (öffnet im neuen Fenster)

Sachbearbeiter*in EDV-Steuern und Abgaben Landeshauptstadt Kiel, Kiel (öffnet im neuen Fenster)

(Senior) Observability Engineer / Distributed Cloud - STACKIT (m/w/d) STACKIT, Heilbronn (öffnet im neuen Fenster)

(Senior) Market Intelligence Manager (w/m/d) B. Braun SE, Melsungen (öffnet im neuen Fenster)

Unternehmensarchitekt bzw. Unternehmensarchitektin (m/w/d) Digitalisierung in Bildung und Familie Behörde für Schule, Familie und Berufsbildung, Hamburg (öffnet im neuen Fenster)

Googles reCaptcha funktioniert seit 2018 teils ohne Rätsel , teils müssen Ampeln, Zebrastreifen oder Autos auf kleinen Bildchen erkannt werden. So sollen echte Nutzer von Bots unterschieden werden. Die Phishing-Webseiten binden laut Barracuda dies immer häufiger ein, um Scan-Tools auszusperren. Manche Phishing-Seiten würden aber auch nur ein gefälschtes reCaptcha-Kästchen verwenden, das durch einfaches Absenden des Formulars umgangen werden könne.

Als Beispiel nennt Barracuda eine Phishing-Kampagne, die in einer gefälschten Microsoft-E-Mail eine Sprachnachricht verspricht. Nach einem Klick auf den Link muss zuerst ein reCaptcha gelöst werden, bevor die eigentliche Phishing-Seite, eine gefälschte Microsoft-Login-Webseite, erscheint. Da Sicherheitssoftware das reCaptcha nicht umgehen könne, könne sie die Webseite nicht als schädlich erkennen, sofern die Domain nicht schon als schädliche Domain bekannt ist.

Einführung in reCAPTCHA v3 (Herstellervideo) (02:25)

Alternativ könne Sicherheitssoftware bereits die E-Mail selbst als Phishing erkennen. Barracuda empfiehlt dennoch, Nutzer und Mitarbeiter für das Problem zu senisbilisieren, denn keine Sicherheitslösung fange alles ab. Manche Finanzbehörden sind bereits dazu übergegangen , E-Mails mit Office-Anhängen oder Links aus Angst vor Schadsoftware gar nicht mehr anzunehmen.

Zur Startseite 17 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Relevante Themen