Immer wieder überrascht mich die Innovation und Reife der Dienste und Organisationen, die Cyberkriminelle nutzen. Als Leiter des Shape Intelligence Center bei F5 sehe ich mir gerne selbst an, wie gängige Tools und Services gegen unsere Kunden eingesetzt werden, um daraus zu lernen. Ein wichtiger Dienst für Cyberkriminelle ist die Umgehung von CAPTCHAs. Das wurde mir erst so richtig klar, als ich für eine Klick-Farm gearbeitet habe, die CAPTCHAs löst.

Was sind CAPTCHAs?

CAPTCHA ist eine Abkürzung für Completely Automated Public Turing test to tell Computers and Humans Apart. Dabei handelt es sich also um automatische Prüfungen, um Computer von menschlichen Gesprächspartnern zu unterscheiden - natürlich ohne sie zu sehen, sondern anhand ihrer Antworten in einer Kommunikation.

Die ersten Lösungen wurden in den späten 1990er Jahren als rudimentärer, umgekehrter Turing-Test eingeführt. Diese sollten Websites dabei helfen, die wachsende Menge an problematischem Bot-Traffic herauszufiltern. Am häufigsten kommen hier die bekannten Bilderrätsel zum Einsatz: Ein Nutzer muss in einem Bild die angezeigten Buchstaben oder Ziffern erkennen und sie in ein Feld eingeben, um die nächste Seite öffnen zu können.

Solche CAPTCHAs boten lange Zeit einen guten Schutz vor automatisierten Angriffen, da die ersten Generationen von Bots dieses Hindernis nicht so leicht überwinden konnten. Als sich die Bots jedoch weiterentwickelten und einfache CAPTCHAs lösten, wurden diese immer komplexer und selbst für Menschen immer schwieriger zu beantworten.

Was ist eine CAPTCHA-Farm?

In den letzten Jahren entstanden immer mehr Möglichkeiten, CAPTCHAs schneller und effizienter zu umgehen. Doch nach wie vor ist bei Cyberkriminellen die ursprüngliche "menschliche Klickfarm" die einfachste und beliebteste Lösung.

Neben den Entwicklern und Betreibern dieser Dienste dreht sich eine menschliche CAPTCHA-Farm hauptsächlich um zwei Gruppen: die Mitarbeitenden, die CAPTCHAs lösen, und die "Kunden", welche die Ergebnisse kaufen, damit sie auch bei CAPTCHA-geschützten Websites ihre automatisierten Angriffe durchführen können. Um aus erster Hand zu sehen, wie beide Seiten dieses Geschäfts funktionieren, habe ich mich sowohl als Löser als auch als Kunde bei dem russischen CAPTCHA-Dienst 2Captcha angemeldet.

Wie funktioniert der Prozess?

Hacker kundschaften meist im Vorfeld die Zielseiten aus. Stoßen sie dabei auf CAPTCHAs, können sie auf die Dienste der Klickfarm zurückgreifen. Sobald dort das persönliche Konto erstellt und eingerichtet ist, läuft es bei 2Captcha folgendermaßen:

1. Der angreifende Bot verbindet sich mit einer Website, die ein CAPTCHA-Rätsel stellt.

2. Der Bot nimmt ein Bild des CAPTCHAs auf und sendet es über die API von 2Captcha an den Dienst.

3. 2Captcha sendet das Bild an einen oder mehrere Menschen weiter, die es lösen sollen.

4. 2Captcha sendet die Lösung über die API zurück an den Bot.

5. Der Bot gibt die korrekte Lösung auf der Website ein.

6. Die Website stuft den Bot fälschlicherweise als menschlich ein und erlaubt ihm, fortzufahren.

Neben den herkömmlichen Bilderrätseln gibt es weitere CAPTCHA-Konzepte, etwa das Anklicken von Kästchen. Hier ist das Verfahren etwas anders:

1. Der angreifende Bot verwendet die API von 2Captcha, um einen der menschlichen Mitarbeitenden anzuweisen, die Zielwebsite zu besuchen und das Kontrollkästchen wie "Ich bin kein Roboter" manuell zu aktivieren.

2. Der menschliche Löser erhält ein Token für das gelöste CAPTCHA.

3. 2Captcha übergibt das Token über die API an den Bot.

4. Der Bot sendet das gültige Token an die Zielwebsite.

5. Die Website stuft den Bot fälschlicherweise als menschlich ein und erlaubt ihm, fortzufahren.

Alle diese Schritte lassen sich über einen Proxy ausführen, so dass der Prozess für die Website scheinbar völlig transparent ist. So ermöglichen es CAPTCHA-Lösungsdienste den Cyberkriminellen, diese Sicherheitsmechanismen zu umgehen, einschließlich Googles neuester Version namens reCAPTCHA Enterprise.

Wie funktioniert das Geschäftsmodell?

In vielerlei Hinsicht arbeiten CAPTCHA-Lösungsdienste wie seriöse, wenngleich stark gewinnorientierte Unternehmen. Während sie angemessene Gebühren von ihren Kunden verlangen, benachteiligen sie die CAPTCHA-Löser deutlich. Und bei relativ geringen Gemeinkosten ist die Gewinnspanne damit attraktiv.

Wirklich illegal ist das Procedere dabei nicht - zumindest im Vergleich zum Hacken eines Servers oder der Übernahme eines Kontos. Es kann jedoch einen Verstoß gegen die Nutzungsbedingungen einer Website darstellen und eine kriminelle Handlung ermöglichen, zum Beispiel den Zugriff auf Benutzerkonten über Identitätsdiebstahl. Aber in diesen Fällen gilt der Nutzer des Dienstes als Täter - also der Kunde. Der Dienst selbst kann dagegen behaupten, nichts von den Absichten seiner Kunden zu wissen.

Wie hoch sind die Kosten?

2Captcha berechnet seinen Kunden unterschiedliche Tarife, je nach Art des zu lösenden CAPTCHAs. Herkömmliche CAPTCHAs kosten den Kunden 0,75 US-Dollar pro 1.000 Stück. Im Vergleich dazu schlagen komplexere reCAPTCHAs mit 2,99 US-Dollar pro 1.000 Stück zu Buche - fast viermal so viel. Abbildung 1 zeigt neben diesen Preisen auch die jeweilige Lösungsgeschwindigkeit, Dienstauslastung und Anzahl der Online-Mitarbeiter. Die Angaben werden nahezu in Echtzeit aktualisiert.

Wie wird man ein menschlicher CAPTCHA-Löser?

Der Einstieg als menschlicher CAPTCHA-Löser ist extrem einfach. Ebenso wie bei einem Kundenkonto muss man auch als Löser nur einen E-Mail-Alias angeben. Die Website bietet auch eine sehr benutzerfreundliche, intuitive Oberfläche mit Schritt-für-Schritt-Anleitungen, Tutorials und Tipps zum Lösen von CAPTCHAs.

Abbildung 2 zeigt ein Beispiel für die Schulung zum Lösen herkömmlicher CAPTCHAs. Auf der linken Seite sind Beispiel-CAPTCHAs zu sehen, in der Mitte die richtigen Antworten und rechts die Erklärungen. Es ist offensichtlich, dass die Hilfeseiten nicht von einem englischen Muttersprachler geschrieben wurden. Aber die Anweisungen sind verständlich und die Ausführung ist einfach. So konnte ich meine Lösungsraten und Geschwindigkeit schnell verbessern.

Interessant ist auch, was oberhalb der Beispiele steht. 2Captcha rekrutiert wohl menschliche CAPTCHA-Löser mit der Behauptung, dass dies "ihnen hilft, Englisch schnell einzuführen und zu lehren". Vermutlich soll das heißen, dass man beim CAPTCHA-Lösen auch nebenbei Englisch lernen würde.

Abbildung 3 zeigt ein ähnliches Beispiel für die Schulung für reCAPTCHAs. Auch hier sind die Anweisungen etwas kryptisch. Aber es werden viele Beispiele gegeben, damit die Mitarbeitenden die Lösung beherrschen.

Wie fühlt sich das Lösen an?

Die eigentliche Arbeit beim Lösen von CAPTCHAs ist ziemlich mühsam - wie erwartet. In Abbildung 4 löse ich gerade ein herkömmliches CAPTCHA. In dieser Sitzung habe ich 22 CAPTCHAs gelöst und nur 0,00665 US-Dollar verdient.

Wenn ich bei diesem CAPTCHA die Eingabetaste drücke, erscheint ein weiteres CAPTCHA, das ich lösen muss. Wenn die Mitarbeitenden mehr CAPTCHAs lösen und schneller werden, erhalten sie kleine Gehaltserhöhungen. Mit der Gesamtzahl der gelösten CAPTCHAs ist jedoch nicht nur eine Belohnung verbunden. Wer zu langsam ist oder zu viele falsche Antworten gibt, kann aus dem System ausgeschlossen werden. Selbst eine zwielichtige Kundschaft erwartet schließlich einen zuverlässigen Service.

Wie wird man bezahlt?

2Captchas üblicher Tarif für Löser lag im April 2021 bei 0,30 US-Dollar für 1.000 herkömmliche CAPTCHAs und 1,01 US-Dollar für 1.000 reCAPTCHAs (siehe Abbildung 5). Dies ist jedoch nur ein Bruchteil dessen, was Kunden dafür bezahlen: 4 Prozent für herkömmliche CAPTCHAs und 3,4 Prozent für reCAPTCHAs. Bei diesen Sätzen müsste man 11 Stunden am Tag ununterbrochen arbeiten - was ziemlich unrealistisch ist -, um 1,20 US-Dollar täglich zu verdienen. Für reCAPTCHAs, deren Lösung etwa doppelt so lange dauert, würde ein 11-Stunden-Tag jedoch auch nur 2,02 US-Dollar bringen.

CAPTCHA-Löser haben dafür eine breite Palette an Möglichkeiten, um von 2Captcha bezahlt zu werden (siehe Abbildung 6). Dabei variiert der Mindestauszahlungsbetrag je nach Zahlungsdienst.

Wie fühlt man sich als Kunde?

Zwielichtige Dienste sind tatsächlich dafür bekannt, dass sie einen ausgezeichneten Kundensupport bieten. 2Captcha ist da keine Ausnahme. Neben der benutzerfreundlichen Oberfläche und der Fülle an Schulungsmaterial stellt der Dienst umfangreiche Supportseiten und FAQs (siehe Abbildung 7) für Mitarbeitende und Kunden bereit. Einige Klickfarmen besitzen sogar telefonische Hotlines.

Kunden von 2Captcha erhalten ihre eigenen Anleitungen und FAQ-Seiten. Das in Abbildung 8 gezeigte Beispiel beschreibt detailliert Googles aktuelles Angebot reCAPTCHA Enterprise - und eine Anleitung, wie man es mit Hilfe von 2Captcha austricksen kann.

Eine kleine Hürde zum Datenschatz

So sieht also der Job eines CAPTCHA-Lösers aus - und leider ist er für viele Menschen eine echte Einnahmequelle. Ihre Dienste werden von Angreifern häufig genutzt. Daher sind CAPTCHAs für Cyberkriminelle nur eine kleine Hürde, während sie für legitime Kunden erhebliche Probleme und Zeitverlust mit sich bringen. Trotzdem verlassen sich viele Unternehmen immer noch darauf. Sie sollten aber auch bei neuen CAPTCHA-Versionen darauf achten, Bots und Klickfarmen ein echtes Hindernis zu bieten, ohne dabei legitime Nutzer abzuschrecken. (mb)