Uwaga fałszywa CAPTCHA, czyli nie daj się zainfekować
Captcha, czyli „Udowodnij, że nie jesteś robotem” to coś do czego korzystając z sieci jesteśmy przyzwyczajeni przy wypełnianiu wszelkiego rodzaju formularzy.
Kiedyś captche były bardzo proste – przepisanie kilku cyfr lub liter w odpowiednie pole. Z czasem, wraz z rozwojem botów, stawały się coraz bardziej skomplikowane. W miejsce przepisania prostego ciągu znaków pojawiły się prośby o dopasowanie obrazka do opisu, zaznaczenia odpowiednich fragmentów większej całości, czy inne czynności, które miały być problematyczne dla botów.
W tej sytuacji prośba o skopiowanie jakiegoś ciągu znaków do schowka, a następnie wciskanie różnych – jasno opisanych – kombinacji przycisków na klawiaturze wygląda jak kolejna odsłona „udowadniania, że jesteś człowiekiem”. Prawda? NIEPRAWDA!
To atak, który skłania użytkownika do samodzielnego wklejenia i uruchomienia w systemie złośliwego kodu.
Jak to działa?
Znacie skróty Ctrl+C, Ctrl+V? Z pewnością. Ctrl+C to akcja kopiowania, a Ctrl+V to "wklej".
Do tego duetu warto dołożyć jeszcze skrót Ctrl+X, czyli wytnij. On także pozwala wkleić później wyciętą zawartość w inne miejsce.
Wspominamy o nich dlatego, że nie każdy je zna. I być może użycie komendy „Wklej” wzbudziłoby więcej wątpliwości, niż wciśnięcie kombinacji klawiszy Ctrl+V.
A teraz wróćmy do scenariusza ataku.
Użytkownik trafia na stronę, która pod pozorem Captchy – widać nawet logo łudząco podobne do logo ReCAPTCHA od Google – prosi go o skopiowanie (lub wciśnięcie kombinacji Ctrl+C) do Schowka pewnego ciągu znaków. W niektórych przypadkach nie trzeba nic kopiować, wystarczy kliknąć przycisk „Zweryfikuj”.
Następnie użytkownik dostaje czytelne instrukcje dalszego postępowania:
- Wciśnij kombinację klawiszy Win+R.
- Wciśnij Ctrl+V
- Wciśnij Enter.
Gratulacje! Właśnie uruchomiłeś swój pierwszy złośliwy kod. – Taki komunikat powinien zobaczyć użytkownik. Zamiast tego, jego komputer staje w tym momencie otworem dla cyberprzestępców.
Co się tak naprawdę stało?
- Kombinacja klawiszy Win+R otwiera okno „Uruchom”. Jest to program obecny na każdym komputerze z systemem operacyjnym Windows pozwalający na szybkie uruchomienie dowolnej aplikacji lub pliku.
-
Kombinacja klawiszy Ctrl+V wkleja ze Schowka skopiowany wcześniej złośliwy kod w pole programu Uruchom.
-
Wciśnięcie Enter uruchamia szkodliwy kod infekując komputer.
To kolejny atak socjotechniczny. Tym razem oszuści podszywają się pod sytuację, którą użytkownicy znają – Captchę. Captcha z definicji ma być odrobinę „skomplikowana”, zatem zestaw czynności, na których bazuje atak może wydawać się użytkownikowi całkowicie uzasadniony.
Aktualna kampania – GitHub
Najnowsza kampania wykorzystująca ten mechanizm bazuje na pewnej funkcji portalu GitHub. Oszuści wykorzystują "Github issue" służącą do interakcji z autorami repozytorium (i innymi osobami, które zapisały się do otrzymywania takich maili). Utworzenie i dodanie "Issue" automatycznie rozsyła maila z jego treścią. W opisywanym przypadku w treści maila znajduje się link do rzekomego raportu bezpieczeństwa. Dostępu do podlinkowanej strony strzeże opisana powyżej pseudo-captcha. W opisywanej kampanii kod uruchamiany przez użytkownika pobiera oprogramowanie Lumma Stealer służące do wykradania z komputerów poufnych informacji (np. danych uwierzytelniających do różnych usług).
Jak się chronić?
Najważniejsza rada – ŻADNA prawdziwa Captcha nie będzie wymagała opuszczenia strony internetowej. Wszelkie instrukcje wymagające wciskania kombinacji klawiszy i wykonywania działań w systemie powinny natychmiast wzbudzić podejrzenia.
Warto pamiętać, że tak jak większość przestępstw to nie genialne morderstwa i „skoki stulecia”, o których czytamy w książkach i gazetach, a raczej drobne kradzieże i akty wandalizmu. Tak samo cyberprzestępstwa to w zdecydowanej większości ataki socjotechniczne bazujące na emocjach lub nieświadomości użytkowników. Dlatego aby być bezpiecznym w sieci, należy niczym kierowca przed przejściem zachować szczególną ostrożność w obliczu treści, które wydają nam się choć trochę podejrzane.