KI-Tools wie ChatGPT sind begehrte Ziele für Cyberkriminelle. Gefälschte Browser-Erweiterungen, die vorgeben, KI-Funktionen zu bieten, stehlen massenhaft Login-Daten und Session-Cookies. Was ihr über diese perfiden Maschen wissen müsst.
Browser-Erweiterungen, die sich als ChatGPT oder andere KI-Tools ausgeben, sind zu einer echten Plage geworden. Diese gefälschten Add-ons nutzen die Popularität von künstlicher Intelligenz schamlos aus – mit einem klaren Ziel: Sie wollen eure wertvollen Login-Daten und Session-Cookies abgreifen.
Die Masche ist perfide einfach: Eine scheinbar harmlose Erweiterung verspricht, ChatGPT direkt im Browser nutzbar zu machen oder erweiterte KI-Funktionen zu bieten. Doch statt nützlicher Features installiert ihr euch Malware, die heimlich eure sensiblen Daten sammelt.
Session-Hijacking durch gestohlene Cookies
Cookies sind kleine Datenpakete, die Websites auf eurem Computer speichern. Session-Cookies enthalten dabei besonders sensible Informationen: Sie beweisen gegenüber der Website, dass ihr bereits eingeloggt seid. Mit gestohlenen Session-Cookies können Angreifer eure Accounts übernehmen, ohne das Passwort zu kennen.
Die gefälschten KI-Erweiterungen sind darauf spezialisiert, genau diese wertvollen Cookies abzugreifen. Besonders beliebt sind dabei Facebook-, Google-, LinkedIn- und Banking-Cookies. Einmal gestohlen, verkaufen Cyberkriminelle diese Daten in Underground-Foren oder nutzen sie selbst für Betrug und Identitätsdiebstahl.
Mittlerweile haben Sicherheitsforscher hunderte solcher Fake-Erweiterungen identifiziert. Sie tarnen sich nicht nur als ChatGPT, sondern auch als Claude, Gemini oder andere populäre KI-Tools. Die Entwickler werden dabei immer raffinierter: Screenshots, Logos und Beschreibungen sehen täuschend echt aus.
So funktioniert der Datenklau
Nach der Installation fordert die gefälschte Erweiterung weitreichende Berechtigungen an – oft mehr, als für die beworbene Funktion nötig wäre. Typische Warnzeichen sind Zugriff auf „alle Website-Daten“, „Browsing-Verlauf“ oder „gespeicherte Passwörter“.
Ist die Erweiterung erst installiert, läuft der Datendiebstahl meist vollautomatisch im Hintergrund. Moderne Varianten nutzen dabei ausgeklügelte Verschleierungstechniken: Sie aktivieren sich erst nach Stunden, kommunizieren über verschlüsselte Kanäle oder tarnen sich als harmlose Analytics-Tools.
Besonders dreist: Manche Fake-Erweiterungen bieten sogar teilweise funktionierende KI-Features. Sie leiten eure Anfragen an echte APIs weiter – und sammeln dabei nebenbei fleißig eure Daten. So fällt der Betrug oft wochenlang nicht auf.
Schutz vor gefälschten Browser-Erweiterungen
Der beste Schutz ist gesunde Skepsis. Installiert Erweiterungen grundsätzlich nur aus den offiziellen Stores: Chrome Web Store, Firefox Add-ons, Edge Add-ons oder Safari Extensions. Aber Vorsicht: Auch dort schaffen es gelegentlich gefälschte Erweiterungen durch die Kontrollen.
Prüft vor der Installation immer:
– Entwickler-Name und -Reputation
– Anzahl Downloads und Bewertungen
– Welche Berechtigungen verlangt werden
– Ob die beschriebenen Features plausibel sind
Bei KI-Tools gilt besondere Vorsicht: ChatGPT, Claude und Co. funktionieren bereits hervorragend über ihre Web-Interfaces. Browser-Erweiterungen, die angeblich „verbesserten Zugang“ versprechen, sind meist überflüssig – oder gefährlich.
Regelmäßige Security-Audits eurer installierten Erweiterungen sind Pflicht. Löscht alles, was ihr nicht aktiv nutzt. Viele Browser bieten mittlerweile auch erweiterte Sicherheitsfeatures: Chrome warnt beispielsweise vor verdächtigen Erweiterungen, Firefox blockiert bekannte Malware automatisch.
Was tun bei Verdacht?
Falls ihr bereits eine verdächtige Erweiterung installiert habt, handelt schnell: Deinstalliert sie sofort und ändert alle wichtigen Passwörter. Besonders kritisch sind Social Media-, E-Mail- und Banking-Accounts.
Löscht außerdem alle Browser-Cookies und meldet euch überall neu an. Das ist lästig, aber notwendig. Aktiviert zusätzlich die Zwei-Faktor-Authentifizierung bei allen wichtigen Diensten – gestohlene Cookies allein reichen dann nicht mehr für einen Account-Hijack.
Überprüft in den kommenden Wochen regelmäßig eure Account-Aktivitäten. Ungewöhnliche Login-Versuche, neue Geräte oder verdächtige Aktionen sind Warnsignale für kompromittierte Accounts.
Die Fake-KI-Erweiterungen zeigen exemplarisch, wie Cyberkriminelle aktuelle Trends ausnutzen. Je populärer neue Technologien werden, desto schneller entstehen entsprechende Betrugsmaschen. Bleibt wachsam – und lasst euch nicht von der Verlockung neuer Features zu unvorsichtigen Installationen verleiten.
Zuletzt aktualisiert am 19.02.2026
