Sicherheitsforscher melden eine massive Zunahme von Angriffen, die täuschend echte Captcha-Abfragen als Einfallstor nutzen. Was ursprünglich Mensch von Bot unterscheiden sollte, wird jetzt zur Kostenfalle – besonders für Smartphone-Nutzer.
SMS-Pumping: Ein Klick, dicke Rechnung
In den letzten 72 Stunden warnten Experten von Malwarebytes vor einer neuen Variante der sogenannten „ClickFix“-Kampagne. Sie zielt gezielt auf Smartphone-Nutzer ab. Die Masche: Eine vertraute „I’m not a robot“-Abfrage lockt den Nutzer in eine Kostenfalle.
Die wachsende Zahl an Smartphone-Angriffen zeigt, wie verwundbar mobile Geräte ohne die richtigen Vorkehrungen gegen Hacker und Malware sind. Experten warnen: Wer grundlegende Schutzvorkehrungen nicht kennt, riskiert Datenverlust und finanzielle Schäden. 5 sofort umsetzbare Schutzmaßnahmen für Ihr Smartphone entdecken
Statt Schadsoftware zu installieren, provoziert der Angriff den Versand zahlreicher internationaler SMS im Hintergrund. Laut Sicherheitsexperte Pieter Arntz genügt ein unbedachter Klick. Das mobile Betriebssystem sendet dann vorformulierte Nachrichten an internationale Empfänger.
Der Fachbegriff dafür lautet „SMS-Pumping“ oder „International Revenue Share Fraud“. Die Angreifer kassieren Umsatzbeteiligungen an den hohen Terminierungsgebühren im globalen Telekommunikationsnetz. Für Verbraucher bedeutet das: Kosten von durchschnittlich 30 US-Dollar pro Vorfall auf der Mobilfunkrechnung.
Das Tückische: Da keine klassische Schadsoftware installiert wird, greifen signaturbasierte Schutzprogramme oft ins Leere. Der Angriff nutzt Standardfunktionen mobiler Browser und Nachrichtendienste aus. Der Nutzer autorisiert den Sendevorgang unwissentlich per Social Engineering.
ClickFix am Desktop: Der Terminal-Trick
Parallel dazu beobachten Forscher von Microsoft Threat Intelligence eine Evolution der Angriffe auf Desktop-Systeme. Im ersten Quartal 2026 hat sich das Volumen von Phishing-Angriffen hinter Captcha-Hürden im Vergleich zum Vorjahr mehr als verdoppelt. Microsoft registrierte allein in diesem Zeitraum rund 8,3 Milliarden bedrohliche E-Mails.
Ein besonders perfider Ansatz: die Ausnutzung der Windows-Terminal-App. Auf einer gefälschten Captcha-Seite wird dem Nutzer ein vermeintlicher Fehler angezeigt. Zur „Behebung“ soll er eine Tastenkombination drücken – etwa Windows + R für den Ausführen-Dialog oder Windows + X gefolgt von „I“ für das Terminal.
Im Hintergrund kopiert die bösartige Webseite automatisch einen verschleierten PowerShell-Befehl in die Zwischenablage. Fügt der Nutzer diesen ein und führt ihn aus, startet die Infektionskette. Der Clou: Da die Ausführung außerhalb des Browsers im Betriebssystem-Kontext stattfindet, schlagen reine Webverkehrsüberwacher seltener Alarm.
Lumma Stealer: Malware-Abo für 250 Dollar
Hinter den meisten Kampagnen stecken organisierte Gruppen, die das Modell „Malware-as-a-Service“ (MaaS) nutzen. Ein prominentes Beispiel ist der Lumma Stealer, den Netskope Threat Labs und Sophos immer wieder als primäre Nutzlast identifizieren. Die Schadsoftware stiehlt Browser-Passwörter, Cookies, Krypto-Wallets und Sitzungstoken.
Das Geschäftsmodell ist professionell structured. Entwickler bieten den Lumma Stealer in verschiedenen Abonnement-Modellen an. Die Preise für Affiliates liegen je nach Funktionsumfang zwischen 250 und 20.000 US-Dollar.
Nach einer großen Takedown-Aktion 2025 haben die Betreiber ihre Infrastruktur schnell wieder aufgebaut. Sie nutzen nun vermehrt „Bulletproof“-Hosting-Anbieter und CDNs wie Cloudflare, um ihre Command-and-Control-Server zu tarnen. Technisch setzen die Angreifer auf Multistaging-Verfahren mit legitim wirkenden Dateien wie MP3s oder PDFs, in die verschleierter JavaScript-Code eingebettet ist.
Warum die Captcha-Tarnung so gut funktioniert
Der Erfolg dieser Masche liegt in der psychologischen Konditionierung der Internetnutzer. Captchas sind allgegenwärtig. Nutzer überwinden diese Hürden schnell und fast mechanisch, um zum Zielinhalt zu gelangen. Diese Routine schaltet die kritische Distanz aus, erklärt Cybersecurity-Experte Federico Giovannetti von der University of Tampa.
Die gefälschten Abfragen imitieren das Design etablierter Anbieter wie Google reCAPTCHA so präzise, dass selbst versierte Anwender den Unterschied oft erst bemerken, wenn interaktive Schritte über das einfache Anklicken von Bildern hinausgehen. Video-Tutorials auf den Fake-Seiten erklären dem Nutzer Schritt für Schritt, wie er den schädlichen Befehl ausführt – ein Beleg für die Professionalisierung im Bereich Social Engineering.
Da Angreifer für ihre Betrugsmaschen immer öfter den Alltag am Smartphone ausnutzen, empfehlen IT-Experten genau diese fünf zentralen Schutzmaßnahmen. Sichern Sie WhatsApp, PayPal & Co. wirksam ab und nutzen Sie Ihr Gerät endlich wieder ohne Sicherheitsbedenken. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Schutz: Zweigleisige Strategie für 2026
Analysten erwarten eine weitere Verfeinerung dieser Taktiken. KI-gestützte Inhalte könnten die gefälschten Seiten noch individueller und glaubwürdiger machen. Besonders die Kombination verschiedener Betrugsarten – gleichzeitige Infektion mit einem Infostealer und SMS-Betrug – stellt IT-Sicherheitsabteilungen vor neue Herausforderungen.
Sicherheitsfirmen empfehlen eine zweigleisige Strategie:
Erstens: Technische Schutzmaßnahmen wie Endpoint Detection and Response (EDR) müssen verdächtige PowerShell-Aktivitäten und ungewöhnliche Terminal-Aufrufe erkennen – selbst wenn sie durch Nutzerinteraktionen ausgelöst wurden.
Zweitens: Gezielte Sensibilisierung von Mitarbeitern und Endverbrauchern. Die zentrale Botschaft: Eine legitime Captcha-Abfrage fordert niemals dazu auf, Tastenkombinationen zu drücken, Befehle in die Kommandozeile einzufügen oder SMS-Nachrichten zu versenden.
Unternehmen sollten zudem den Netzwerkverkehr auf Verbindungen zu ungewöhnlichen Top-Level-Domains wie „.shop“ oder „.cyou“ überwachen. Diese werden vermehrt zur Exfiltration gestohlener Daten genutzt. In einer digitalen Welt, in der selbst Captchas nicht mehr vertrauenswürdig sind, rückt die Skepsis gegenüber interaktiven Aufforderungen wieder ins Zentrum der Cybersicherheit.
