Angreifer nutzen CAPTCHA- und ClickFix-Taktiken aus, um die Glaubwürdigkeit von gestohlenen Zugangsdaten zu erhöhen

Der auffälligste Trend war der starke Anstieg des CAPTCHA-geschützten Phishings, der im März allein mehr als verdoppelt wurde und 11,9 Millionen Angriffe erreichte, das höchste Volumen seit über einem Jahr.

Da sich Verteidiger bei der Abwehr einfacher Phishing-E-Mails verbessert haben, sind die Angreifer auf gestaffelte -Engineering-Tricks umgestiegen, die gefälschte Sicherheitsüberprüfungen mit optisch legitm aussehenden Seiten vermischen, um sowohl Benutzer als auch automatisierte Scanner zu täuschen.

Besonders besorgniserregend ist, wie schnell sich diese Taktiken weiterentwickeln. Bedrohungsakteure wechselten in nur wenigen Wochen aktiv die Übertragungsformate änge, PDFs und Word-Dokumenten und experimentierten dabei, um herauszufinden, was die E-Mail-Filter am effektivsten umgehen konnte.

Bis zum Ende des Quartals erwiesen

Bis zum Ende des Quartals erwiesen sich PDF-Anhänge als der häufigste Träger für CAPTCHA-geschützte Phishing-Inhalte und stiegen im März um beeindruckende 356 % an, nachdem sie monatelang stetig gesunken waren. Diese schnelle Rotation , dass Angreifer nahezu in Echtzeit Experimente gegen E-Mail-Sicherheitssysteme durchführen.

Microsoft-Analysten identifizierten und verfolgten mehrere dieser Kampagnen detailliert und stellten fest, wie Bedrohungsakteure gefälschte CAPTCHA-Herausforderungen mit ClickFix-artiger Manipulation kombinierten, um herkömmliche Sicherheitskontrollen zu umgehen.

Bei ClickFix-Angriffen täuscht ein gefächteter CAPTCHA-Prompt Benutzer dazu, einen bösartigen Befehl auf ihrem eigenen Gerät zu kopieren und auszuführen, unter dem falschen Eindruck, sie würden einen Schritt zur menschlichen Verifizierung abschließen.

Dies eliminiert die Notwendigkeit traditioneller Malware-Downloads

Dies eliminiert die Notwendigkeit traditioneller Malware-Downloads vollständig, da das Opfer unwissentlich den Code des Angreifers selbst ausführt.

Die Tycoon2FA-Phishing-as-a-Service (PhaaS)-Plattform, die 1747 verfolgt wird, blieb im ersten Quartal 2026 ein zentraler Akteur in diesem Bereich, obwohl ihr Einfluss auf die CAPTCHA-geschützte Phishing-Landschaft im Laufe des Quartals nachließ.

Während Tycoon2FA Ende 2025 über drei Viertel aller CAPTCHA-geschützten Phishing-Websites beherbergte, sank dieser Anteil bis März 2026 auf nur 41 %, was zeigt, dass immer mehr Bedrohungsakteure und Phishing-Kits dieselbe Technik übernehmen.

Wie die Angriffskette abläuft Ein besonders

Wie die Angriffskette abläuft Ein besonders auffälliges Beispiel aus dem ersten Quartal 2026 war eine große dreitägige Kampagne vom 23. bis 25. Februar 2026, die über 1,2 Millionen Phishing-Nachrichten an Benutzer in mehr als 53.000 Organisationen in 23 Ländern lieferte.

Angreifer sendeten E-Mails mit SVG-Dateianhängen, deren Namen auf das Thema der E-Mail zugeschnitten waren, wie gefälschte Rechnungsbenachrichtigungen, Zahlungsbenachrichtigungen, Erinnerungen an die 401K-Aktualisierung und Benachrichtigungen über Sprachnachrichten.

Wenn ein Empfänger die angehängte SVG-Datei öffnete, lud sein Browser still und holte Inhalte präsentierte einen gefälschten „Sicherheitsprüfung“-CAPTCHA-Bildschirm.

Nachdem der Benutzer die gefälschte Prüfung

Nachdem der Benutzer die gefälschte Prüfung abgeschlossen hatte, wurde er auf eine gefälschte Anmeldeseite weitergeleitet, die darauf ausgelegt war, seine Kontogangsdaten zu stehlen. Eine separate Kampagne am 17.

März 2026 verdeutlichte das Ausmaß dieser Operationen. Über 1,5 Millionen bösartige HTML-Nachrichten wurden an mehr als 179.000 Organisationen in 43 Ländern gesendet, wobei jede E-Mail einen HTML-Anhang enthielt, der lokal startete und die Opfer über eine Staging-Seite umleitete, bevor er auf eine CAPTCHA-geschützte Phishing-Seite landete.

Fake-Vertraulichkeitsnachricht (Quelle – Microsoft) Die endgültigen Phishing-Seiten wurden über mehrere PhaaS-Anbieter wie Tycoon2FA, Kratos und EvilTokens gehostet. Microsoft empfiehlt Organisationen, an mehreren Fronten zu handeln, um die Anfälligkeit für diese Bedrohungen zu verringern.

Benutzer sollten durch regelmäßige Phishing-Simulationen

Benutzer sollten durch regelmäßige Phishing-Simulationen und Sensibilisierungsprogramme geschult werden, damit sie gefälschte CAPTCHA-Herausforderungen und verdächtige E-Mail-Anhänge erkennen, bevor sie darauf reagieren.

Organisationen sollten Safe Links und Safe Attachments in Microsoft Defender for Office 365 aktivieren, Zero-hour auto purge (ZAP) aktivieren, um bösartige Nachrichten rückwirkend zu quarantäne, und den Netzwerkschutz in Microsoft Defender for Endpoint einschalten.

Passwortlose Authentifizierungsmethoden wie FIDO-Schlüssel oder Microsoft Authenticator sollten, wo möglich, eingesetzt werden, während Richtlinien für bedingten Zugriff eine phishing-resistente Multi-Faktor-Authentifizierung für privilegierte Konten durchsetzen sollten.

Zuletzt kann die Ermöglichung automatischer Angriffsunterbrechung

Zuletzt kann die Ermöglichung automatischer Angriffsunterbrechung in Microsoft Defender XDR helfen, Angriffe einzudämmen und den Sicherheitsteams mehr Zeit zur Reaktion zu geben. Sie uns auf

Der Beitrag Attackers Abuse CAPTCHA and ClickFix Tactics to Boost Credential Theft Campaigns erschien zuerst bei Cyber Security News.