Interview: Warum das BSI vor Fake-Captchas warnt und worauf man achten sollte

Nachdem das Bundesamt für Sicherheit in der Informationstechnik auf Mastodon vor Fake-Captcha gewarnt hat, sind die lästigen Dinger überall Thema. Jeder ist bereits mit verschiedenen Captcha, meist von Google, in Berührung gekommen – denn Captchas müssen eingebunden werden, um Websites vor automatisierten Angriffen oder Spam zu schützen. Es gibt sie von verschiedenen Anbietern wie hCaptcha und MTCaptcha.

Warum Captcha nicht gleich Captcha ist, erklärt Benedict Padberg Mitgründer des Cybersecurity-Anbieters "Friendly Captcha" aus Wörthsee bei München. Das Unternehmen hat sich zum Ziel gesetzt, Bilder-Captcha-Aufgaben durch nutzerfreundliche Captchas zu ersetzen. Zu Kunden gehören unter anderem die Europäische Union, die Bundesliga und Zalando.

heise online: Was ist ein Captcha und warum ist Captcha nicht gleich Captcha?

Padberg: Captchas sind enorm wichtig für ein sicheres Internet und auch deshalb weltweit auf jeder Webseite und App omnipräsent, weil sie einen essenziell notwendigen Cybersecurity-Schutz vor Bots und Hackern liefern. Ein Captcha beschreibt somit einen Anti-Roboter-Test. Wie dieser Test konkret funktioniert und aussieht, ist hoch unterschiedlich.

Leider gibt es noch zu viele Bilder-Tests, bei denen Nutzer umständlich Objekte wie Ampeln, Autos oder Zebrastreifen markieren müssen. Das wird häufig mit dem Begriff Captcha in Verbindung gebracht und dieses vertraute Erscheinungsbild eröffnet die Sicherheitslücke von Fake Captchas.

Das darf so nicht bleiben. Es braucht moderne, sichere Captchas. Mittlerweile gibt es vollständig unsichtbare Captcha-Tests, die das nervenaufreibende Bilderrätseln und sonstige Nutzeraufgaben vollständig ersetzen.

Wie sieht ein Fake-Captcha aus?

Fake Captchas basieren zumeist auf dem Design von Googles Captcha-Dienst, der Websites vor Robotern schützen soll. Sie werden häufig über Werbebanner oder über eingeschleuste Skripte in Webseiten integriert und imitieren manuelle Captcha-Nutzeraufgaben.

Googles reguläres Captcha fordert Nutzer dazu auf, Bilder von Ampeln oder Autos anzuklicken. Fake Captchas hingegen fordern Nutzer zu hochgradig verdächtigen Handlungen auf – etwa dazu, die Tastenkombination Win + R zu drücken, die Windows-Kommandozeile zu öffnen und dort einen automatisch in die Zwischenablage kopierten Code einzufügen und auszuführen. Diese Interaktion führt in der Praxis häufig zur Installation von Malware oder Infostealern, wie dem Lumma Stealer oder Amadey.

Was können Captcha-Hersteller tun?

Eine Menge. Traditionelle Bilder-Captchas werden zunehmend unsicherer und nerven. Ebendarum haben wir 2020 mit Friendly Captcha ein modernes Captcha entwickelt, das keinerlei Nutzeraufgaben mehr erfordert. Anstelle den Nutzer mit Bilderaufgaben zu überfordern, überprüft Friendly Captcha das Gerät des Nutzers unsichtbar im Hintergrund. Captcha-Hersteller können also moderne, aufgabenfreie Captchas entwickeln.

Traditionelle Bilder-Captchas sollten schnellstmöglich durch moderne, unsichtbare Captchas ersetzt werden. Das macht das Internet nicht nur weniger nervig, sondern auch sicherer. Denn ein modernes Captcha erfordert keinerlei Nutzerinteraktion mehr. Das macht es deutlich schwerer, glaubhafte Fake Captchas zu imitieren.

Wie unterscheidet sich Ihr Captcha von den anderen?

Friendly Captcha verfolgt einen grundlegend neuen, barrierefreien und datenschutzfreundlichen Ansatz, um Web-Interaktion sicher gegen Bots zu schützen. Gleichzeitig speichert Friendly Captcha keine personenbezogenen Daten, wodurch die Privatsphäre der Nutzer effektiv geschützt und die Einhaltung gesetzlicher Rahmenbedingungen wie der DSGVO gewährleistet wird.

Wir verwenden einen neuartigen Proof-of-Work-Mechanismus, so dass die Benutzer keine manuellen Aufgaben mehr durchführen müssen. Dieser Mechanismus basiert in unserem Fall auf einer unsichtbaren Rechenaufgabe. Diese Rechenaufgabe wird vom Gerät des Benutzers im Hintergrund gelöst, während der Benutzer ein Webformular ausfüllt. Der Benutzer selbst muss also nichts mehr machen. Die Komplexität der unsichtbaren Rechenaufgabe wird dynamisch angepasst, basierend auf einer Risikobewertung durch fortgeschrittene technische Risikosignale. Das Anklicken von Bildern mit Ampeln oder Autos gehört damit der Vergangenheit an.

Worauf sollten User achten?

Bei traditionellen Bilder-Captchas ist Aufmerksamkeit geboten. Wenn Sie dazu aufgefordert werden, Systemaktionen wie das Öffnen der Windows-Kommandozeile durchzuführen oder Tastenkombinationen zu drücken, ist äußerste Vorsicht geboten. Solche Anweisungen sind ein starkes Indiz für einen Angriff. In diesen Fällen sollten sie den Webseiten-Betreiber darüber informieren. Webseiten-Betreiber sollten dann umgehend die Schwachstelle eliminieren. Allgemein sollten Webseiten-Betreiber im Sinne ihrer Sicherheit und Nutzerfreundlichkeit darüber nachdenken, ihr traditionelles Captcha durch ein modernes Captcha zu ersetzen, das keine Nutzerinteraktion mehr erfordert.

(mack)