Fałszywe CAPTCHA – nie dajcie się nabrać
Ekipa z niebezpiecznik.pl alarmuje o nowej formie ataku, w której agresor podszywa się pod mechanizm CAPTCHA, czyli stosowane przez wiele witryn rozwiązanie weryfikujące czy odwiedzający daną stronę jest człowiekiem czy botem.
Tym razem jednak, choć atak przypomina jedno z wielu wymyślnych testów CAPTCHA to w istocie nie jest tym, na co wygląda. Aktualnie testy CAPTCHA są coraz częściej znacznie bardziej wyrafinowane, niż żądanie przepisania celowo nabazgranych znaków. Widać pomysłodawca ataku uznał, że skoro CAPTCHA są tak różne, to ludzie by przejść test wykonają zalecane kroki, które jednak tym razem są pułapką.
Na początek uspokajam: użytkownicy sprzętu Apple: nie macie się czego obawiać. Ale jeżeli wy lub wasi bliscy korzystają z maszyn z systemem Windows, zalecam podzielenie się poniższą wiedzą.
Atak prezentuje się następująco (screen za niebezpiecznik.pl):
Czyli odwiedzacie jakąś witrynę i widzicie coś, co przypomina jakiś nieszablonowy test CAPTCHA. Pułapka tkwi w zalecanych działaniach, które mają rzekomo zweryfikować odwiedzającego daną witrynę jako człowieka. Trzeba kolejno nacisnąć skrót klawiaturowy [Windows]+[R], następnie użyć skrótu [CTRL]+[V] i na końcu wcisnąć [ENTER]. Tyle, że to nie ma nic wspólnego z faktycznym testem CAPTCHA. Co się dzieje, jak wykonamy te kroki?
Skrót [Windows]+[R] na każdym komputerze z Windows wywoła okienko Uruchamianie, wygląda ono tak:
Już samo pojawienie się tego okna powinno was powstrzymać przed jakimkolwiek dalszym działaniem. Kolejny krok to po prostu wklejenie zawartości schowka systemowego. Atak polega na tym, że odwiedzając zainfekowaną witrynę przeglądarka kopiuje do schowka Windows podstawioną przez agresora komendę. Zatem użycie schowka wklei po prostu tę komendę w okienko Uruchamianie. Ostatni etap, czyli wciśnięcie [ENTER] to po prostu zatwierdzenie wklejonego polecenia i… można powiedzieć, że sami się zainfekowaliśmy.
Co robi to polecenie? To akurat nie ma znaczenia: może to być np. pobranie i instalacja złośliwego oprogramowania, czy też jakakolwiek inna komenda w systemie Windows. Osoby obyte z systemem Windows i rozumiejące co wywołują powyższe skróty klawiaturowe, raczej się nie nabiorą. Jednak z komputerów korzysta też wiele osób nietechnicznych. Uczulcie zatem swoich bliskich i znajomych, by nie nabrali się na takie CAPTCHA.