Zgłoś incydent
Zgłoś incydent

Uwaga fałszywa CAPTCHA, czyli nie daj się zainfekować
20 listopada 2024 | CERT Polska | #Captcha, #Aktualne zagrożenia

Uwaga fałszywa CAPTCHA, czyli nie daj się zainfekować

Captcha, czyli „Udowodnij, że nie jesteś robotem” to coś do czego korzystając z sieci jesteśmy przyzwyczajeni przy wypełnianiu wszelkiego rodzaju formularzy.

Kiedyś captche były bardzo proste – przepisanie kilku cyfr lub liter w odpowiednie pole. Z czasem, wraz z rozwojem botów, stawały się coraz bardziej skomplikowane. W miejsce przepisania prostego ciągu znaków pojawiły się prośby o dopasowanie obrazka do opisu, zaznaczenia odpowiednich fragmentów większej całości, czy inne czynności, które miały być problematyczne dla botów.

W tej sytuacji prośba o skopiowanie jakiegoś ciągu znaków do schowka, a następnie wciskanie różnych – jasno opisanych – kombinacji przycisków na klawiaturze wygląda jak kolejna odsłona „udowadniania, że jesteś człowiekiem”. Prawda? NIEPRAWDA!

To atak, który skłania użytkownika do samodzielnego wklejenia i uruchomienia w systemie złośliwego kodu.

Jak to działa?

Znacie skróty Ctrl+C, Ctrl+V? Z pewnością. Ctrl+C to akcja kopiowania, a Ctrl+V to "wklej".

Do tego duetu warto dołożyć jeszcze skrót Ctrl+X, czyli wytnij. On także pozwala wkleić później wyciętą zawartość w inne miejsce.

Wspominamy o nich dlatego, że nie każdy je zna. I być może użycie komendy „Wklej” wzbudziłoby więcej wątpliwości, niż wciśnięcie kombinacji klawiszy Ctrl+V.

A teraz wróćmy do scenariusza ataku.

Użytkownik trafia na stronę, która pod pozorem Captchy – widać nawet logo łudząco podobne do logo ReCAPTCHA od Google – prosi go o skopiowanie (lub wciśnięcie kombinacji Ctrl+C) do Schowka pewnego ciągu znaków. W niektórych przypadkach nie trzeba nic kopiować, wystarczy kliknąć przycisk „Zweryfikuj”.

Następnie użytkownik dostaje czytelne instrukcje dalszego postępowania:

  1. Wciśnij kombinację klawiszy Win+R.
  2. Wciśnij Ctrl+V
  3. Wciśnij Enter.

Gratulacje! Właśnie uruchomiłeś swój pierwszy złośliwy kod. – Taki komunikat powinien zobaczyć użytkownik. Zamiast tego, jego komputer staje w tym momencie otworem dla cyberprzestępców.

Co się tak naprawdę stało?

  1. Kombinacja klawiszy Win+R otwiera okno „Uruchom”. Jest to program obecny na każdym komputerze z systemem operacyjnym Windows pozwalający na szybkie uruchomienie dowolnej aplikacji lub pliku.

  1. Kombinacja klawiszy Ctrl+V wkleja ze Schowka skopiowany wcześniej złośliwy kod w pole programu Uruchom.

  2. Wciśnięcie Enter uruchamia szkodliwy kod infekując komputer.

To kolejny atak socjotechniczny. Tym razem oszuści podszywają się pod sytuację, którą użytkownicy znają – Captchę. Captcha z definicji ma być odrobinę „skomplikowana”, zatem zestaw czynności, na których bazuje atak może wydawać się użytkownikowi całkowicie uzasadniony.

Aktualna kampania – GitHub

Najnowsza kampania wykorzystująca ten mechanizm bazuje na pewnej funkcji portalu GitHub. Oszuści wykorzystują "Github issue" służącą do interakcji z autorami repozytorium (i innymi osobami, które zapisały się do otrzymywania takich maili). Utworzenie i dodanie "Issue" automatycznie rozsyła maila z jego treścią. W opisywanym przypadku w treści maila znajduje się link do rzekomego raportu bezpieczeństwa. Dostępu do podlinkowanej strony strzeże opisana powyżej pseudo-captcha. W opisywanej kampanii kod uruchamiany przez użytkownika pobiera oprogramowanie Lumma Stealer służące do wykradania z komputerów poufnych informacji (np. danych uwierzytelniających do różnych usług).

Jak się chronić?

Najważniejsza rada – ŻADNA prawdziwa Captcha nie będzie wymagała opuszczenia strony internetowej. Wszelkie instrukcje wymagające wciskania kombinacji klawiszy i wykonywania działań w systemie powinny natychmiast wzbudzić podejrzenia.

Warto pamiętać, że tak jak większość przestępstw to nie genialne morderstwa i „skoki stulecia”, o których czytamy w książkach i gazetach, a raczej drobne kradzieże i akty wandalizmu. Tak samo cyberprzestępstwa to w zdecydowanej większości ataki socjotechniczne bazujące na emocjach lub nieświadomości użytkowników. Dlatego aby być bezpiecznym w sieci, należy niczym kierowca przed przejściem zachować szczególną ostrożność w obliczu treści, które wydają nam się choć trochę podejrzane.

Udostępnij: