· Magdalena Wachowicz · Bezpieczeństwo

Fałszywe CAPTCHA – nowa metoda cyberataków.

CAPTCHA przez lata pomagała chronić strony internetowe przed botami i automatycznymi atakami. Dziś staje się jednak nowym narzędziem w arsenale cyberprzestępców. Fałszywe strony CAPTCHA coraz częściej służą jako wektor ataku, który pozwala na infekowanie urządzeń, kradzież danych i przejmowanie systemów.

img post033

Jak działa atak z użyciem fałszywej CAPTCHA?

Podszywanie się pod zaufane usługi

Cyberprzestępcy tworzą fałszywe strony, które wyglądają niemal identycznie jak oryginalne mechanizmy CAPTCHA, np. Google reCAPTCHA lub Cloudflare Turnstile. Użytkownik nie ma świadomości, że trafia na złośliwą wersję formularza.

Kopiowanie złośliwego kodu i socjotechnika

Użytkownik trafia na stronę, która pod pozorem Captchy – często z logo łudząco podobnym do Google reCAPTCHA – prosi o skopiowanie (lub wciśnięcie Ctrl+C) do schowka pewnego ciągu znaków. W niektórych przypadkach wystarczy kliknąć przycisk „Zweryfikuj”.

Następnie strona instruuje użytkownika, by:

  • wcisnął Win+R (otwiera okno „Uruchom”),

  • wcisnął Ctrl+V (wklejenie złośliwego kodu),

  • a potem Enter (uruchomienie kodu).

W rezultacie komputer zostaje zainfekowany np. malwarem Lumma Stealer, który:

  • kradnie loginy, hasła i pliki cookie,

  • przechwytuje dane kart płatniczych,

  • infekuje przeglądarki,

  • wykrada portfele kryptowalutowe.

Aktualna kampania – GitHub jako wektor ataku

Jedna z najnowszych kampanii bazuje na funkcji GitHuba – "Issue". Oszuści tworzą zgłoszenia w repozytoriach, których treść trafia e-mailem do wielu użytkowników. Wiadomość zawiera link do rzekomego raportu bezpieczeństwa, za którym kryje się fałszywa CAPTCHA i wspomniany wektor ataku.

Jak zabezpieczyć firmę przed fałszywymi CAPTCHA?

1. Blokowanie podejrzanych domen na poziomie DNS i firewalla

Fałszywe strony są często hostowane w ramach tymczasowych subdomen, np. z puli *.trycloudflare.com. Zaleca się blokowanie tych adresów na poziomie infrastruktury sieciowej.

2. Ograniczenie dostępu do narzędzi systemowych

Ataki wykorzystują narzędzia takie jak powershell.exe, cmd.exe, mshta.exe. Warto:

  • zablokować ich uruchamianie dla zwykłych użytkowników,

  • stosować polityki GPO i AppLocker,

  • wdrożyć Microsoft Defender Application Control (MDAC) lub EDR.

3. Edukacja użytkowników i polityka zero zaufania

Użytkownicy powinni być uczuleni na strony, które zachęcają do:

  • kopiowania i uruchamiania kodu w terminalu,

  • wciskania kombinacji klawiszy typu Win+R, Ctrl+V, Enter,

  • instalowania nieznanych dodatków lub pobierania plików z niezaufanych źródeł.

4. Monitoring aktywności systemowej (SIEM, EDR)

Nowoczesne narzędzia klasy SIEM i EDR powinny:

  • rejestrować uruchomienia skryptów,

  • alarmować o aktywacji powershell.exe i mshta.exe,

  • umożliwiać natychmiastową reakcję zespołu IT.

5. Ciągłe szkolenia i budowanie świadomości

Najlepsze zabezpieczenia zawiodą, jeśli użytkownicy nie rozpoznają zagrożenia. Regularne szkolenia z zakresu cyberbezpieczeństwa to podstawa każdego systemu ochrony.

Podsumowanie – jak reagować na nowe wektory ataków?

Fałszywe CAPTCHA to przykład zaawansowanej socjotechniki – ataku, który wykorzystuje znany i pozornie bezpieczny element interfejsu użytkownika.

To nie problem technologii CAPTCHA, ale zaufania, jakie do niej mamy.

Jeśli chcesz:

  • sprawdzić stan zabezpieczeń w swojej organizacji,

  • wdrożyć monitoring i polityki blokujące,

  • podnieść świadomość zagrożeń w zespole.

Skontaktuj się z nami. Pomożemy Ci przygotować się na realne zagrożenia, zanim będzie za późno...

logo SparkSome

NIP: 6793289948

REGON: 527616291

KRS: 0001085500

© Copyright
SparkSome Venture sp. z o.o.

Menu

Kontakt