Internet przyzwyczaił nas do udowadniania, że nie jesteśmy robotami przez klikanie wskazanych obrazków lub przepisywanie odpowiednich znaków podczas wypełniania formularzy. NASK ostrzega, że współcześni hakerzy potrafią wykorzystać to przyzwyczajenie i skraść nasze dane.
Kiedyś weryfikacja CAPTCHA była prosta i ograniczała się do przepisania kilku cyfr lub liter w odpowiednie pole. Stały się bardziej skomplikowane wraz z rozwojem botów. Pojawiły się prośby o dopasowanie obrazka do opisu, zaznaczenia odpowiednich fragmentów większej całości, czy inne czynności, które miały być problematyczne dla botów.
Współczesny scenariusz ataku
Opisany przez NASK nowy pomysł hakerów wygląda następująco: użytkownik trafia na stronę, która pod pozorem CAPTCHA prosi go o skopiowanie pewnego ciągu znaków (można to zrobić za pomocą kombinacji Ctrl+C, a w niektórych przypadkach wystarczy kliknąć przycisk „Zweryfikuj”). Następnie użytkownik dostaje czytelne instrukcje dalszego postępowania:
- Wciśnij kombinację klawiszy Win+R;
- Wciśnij Ctrl+V;
- Wciśnij Enter.
Co się wówczas dzieje? Kombinacja klawiszy Win+R na każdym komputerze z systemem operacyjnym Windows otwiera okno Uruchom, następnie Ctrl+V wkleja ze Schowka skopiowany wcześniej złośliwy kod, a wciśnięcie Enter uruchamia szkodliwy kod. Komputer został pomyślnie zainfekowany.
– To kolejny atak socjotechniczny – komentuje NASK. – Tym razem oszuści podszywają się pod CAPTCHA, które użytkownicy bardzo dobrze znają. Zabezpieczenie to niejako z definicji ma być odrobinę skomplikowane, zatem zestaw czynności, na których bazuje atak może wydawać się użytkownikowi uzasadniony.
Trwa szturm na GitHub
Najnowsza kampania wykorzystująca ten mechanizm bazuje na pewnej funkcji portalu GitHub. Oszuści wykorzystują Github issue służące do interakcji z autorami repozytorium (i innymi osobami, które zapisały się do otrzymywania takich maili). Utworzenie i dodanie Issue automatycznie rozsyła maila z jego treścią. W treści maila znajduje się link do rzekomego raportu bezpieczeństwa. Dostępu do podlinkowanej strony strzeże opisana powyżej pseudo-captcha. Wiadomo już, że w tym konkretnym przypadku użytkownik pobiera oprogramowanie Lumma Stealer służące do wykradania z komputerów poufnych informacji (np. danych uwierzytelniających do różnych usług).
Pamiętajmy, że prawdziwa CAPTCHA nigdy nie wymaga opuszczenia strony internetowej. Wszelkie instrukcje wymagające wciskania kombinacji klawiszy i wykonywania działań w systemie powinny natychmiast wzbudzić podejrzenia.
Warto też pamiętać, że cyberprzestępstwa to w zdecydowanej większości ataki socjotechniczne bazujące na emocjach lub nieświadomości użytkowników. Zachowujmy czujną i ostrożność w obliczu treści, które wydają nam się podejrzane.
