Captchas bedeuten nicht automatisch mehr Sicherheit
2022-03-25
"Welches Wort ist hier zu lesen?" oder "Wie viele Quadrate mit Traktoren, Fußbällen oder Funkgeräten sind in diesem Bild?" sind typische Captcha-Fragen, die gestellt werden, bevor man eine Website, beispielsweise mit einer Umfrage, einer Kommentarspalte oder einem Gästebuch, besuchen kann. Das soll sicherstellen, dass diese nicht von einem Bot besucht wird, der dann im Gästebuch für blaue Pillen wirbt. Es sichert also den Website-Betreiber ab, nicht aber den Besucher, der gerne glaubt, es sei so eine besonders vertrauenswürdige Website.
Doch das Gegenteil kann der Fall sein: Inzwischen schalten Betrüger gerne Captchas vor ihre Websites. Einerseits, um die Lösung, die sie so vom nichts ahnenden Besucher erhalten, dann doch zu nutzen, um ihrerseits einen Bot auf andere Websites loszulassen, die dasselbe Captcha verwenden. Andererseits, um ihm anschließend eine betrügerische Website zu präsentieren, auf der er einen Webshop mit gar nicht existierenden Waren zu sehen bekommt oder wo mit nachgemachten Onlineshops oder Homebanking-Seiten nochmals Zugangsdaten abgegriffen werden (phishing).
Das Captcha verhindert dabei, dass E-Mail- oder Website-Scanner die betrügerische Website erkennen können, weil sie nur die harmlose Seite mit dem Captcha sehen und nicht wissen, wohin der Besucher nach dessen Lösung weitergeleitet wird.
Also Vorsicht: Ein Captcha bedeutet keineswegs Sicherheit oder Vertrauenswürdigkeit. Es kann im Gegenteil eine gefährliche, betrügerische Website tarnen.
DL2MCD