Capcana Captcha: cum îți poate instala malware

Captcha-urile au apărut ca un filtru necesar într-un internet dominat de boți. În teorie, o verificare rapidă ar trebui să decidă dacă ești om sau software automat. În practică, însă, această barieră a devenit o poartă vulnerabilă.

În ultimele luni, experții în securitate cibernetică de la Eset au observat o creștere a fraudelor care exploatează exact reflexul nostru de a „bifa și merge mai departe”. Când pagina din fața ta e falsă și replică la perfecție o interfață Captcha, un simplu click poate declanșa ceva mult mai serios decât accesul pe un site: instalarea de malware.

De ce vedem tot mai des ferestre Captcha
Traficul online este dus în spate, în proporție tot mai mare, de boți. O parte din aceștia au roluri legitime, de la indexarea paginilor până la verificări automate. Cealaltă parte — aproape două cincimi, după estimări citate de Eset — este, însă, folosită în scopuri agresive: spam, mesaje instigatoare, atacuri de tip distributed denial-of-service (DDoS), încercări de deturnare a conturilor cu parole compromise. În acest context, nu e de mirare că multe site-uri ridică ziduri suplimentare de verificare. Tocmai pe această oboseală digitală mizează atacatorii: îți servesc o pagină credibilă, în stilul „bifează că ești om”, iar restul se întâmplă în spatele ecranului.

ClickFix, o capcană construită pe reflex
Un nume a devenit emblematic pentru noul val de fraudă: ClickFix. Vorbim despre o tehnică de inginerie socială care folosește imagini Captcha false pentru a determina utilizatorul să execute pași aparent banali. În loc de sarcini standard — identificarea unor semne rutiere ori tastarea unui text distorsionat — ți se cere să confirmi că ești om și, eventual, să deschizi o comandă rapidă de sistem. Din acest punct, interacțiunea capătă o turnură riscantă: comenzi pe care le crezi inofensive lansează procese Windows legitime, precum PowerShell sau mshta.exe, și descarcă pe ascuns pachete malițioase de pe servere externe. Un Captcha care te îndeamnă să apeși „Windows + R”, urmat de „Ctrl + V” și „Enter”, poate părea o soluție când ești blocat pe site. În realitate, e linia de start pentru un atac.

Cum ajunge malware-ul în dispozitiv
Mecanismul e simplu și tocmai de aceea eficient. Un mesaj primit pe e-mail, un SMS sau o postare din rețelele sociale te trimit către o „pagină de verificare”. Uneori nici nu e nevoie de un mesaj: ajunge să intri pe un site legitim care a fost infestat cu reclame injectate sau conținut malițios. Dacă pagina e falsă, butonul de „Verificare” devine declanșator. În spate, scripturile copiază o comandă în clipboard, iar combinațiile de taste sugerate o execută. Din acel moment, sistemul tău poate fi deschis unor „payloads” care instalează infostealere, ransomware, troieni de acces la distanță (RAT), criptomineri sau chiar componente asociate unor grupuri susținute de state.

Infostealerele: cel mai mare risc pentru datele personale
Cea mai frecventă țintă a acestor campanii rămân infostealerele — programe specializate în furtul silențios de informații. Ele caută în browsere și aplicații date de autentificare, cookie-uri de sesiune, portofele de criptomonede, contacte, fotografii, chiar și capturi de ecran ori apăsări de taste. În 2024, potrivit datelor citate de Eset, cel puțin 23 de milioane de utilizatori au fost victime ale acestor programe, majoritatea pe sisteme Windows. Miza nu e doar pierderea controlului asupra conturilor personale. În lanț, furarea peste două miliarde de credentiale a alimentat piețe întregi din dark web și a facilitat fraude de identitate, acces neautorizat la servicii financiare și compromiterea conturilor profesionale.

Ransomware și troieni de acces la distanță
Nu toate atacurile se opresc la furt de date. Unele instalează ransomware, blocând fișierele esențiale în spatele unei chei de criptare și cerând răscumpărare. Altele preferă RAT-uri, instrumente care dau atacatorului un control discret asupra computerului — de la explorarea folderelor până la activarea camerei sau microfonului. Un exemplu menționat în analizele de specialitate este AsyncRAT, identificat în 4% dintre incidentele raportate anul trecut. Poate părea puțin, dar, raportat la volumul global de atacuri, o astfel de prezență e un semnal clar: accesul de la distanță rămâne o prioritate pentru infractorii cibernetici, pentru că le oferă timp și spațiu să-și extindă operațiunile fără să fie observați.

De ce inteligența artificială schimbă jocul
Un alt ingredient care a accelerat fenomenul este generative AI. Cu ajutorul modelelor lingvistice, mesajele de phishing arată îngrijit, corect, convingător, în mai multe limbi și cu adaptări subtile la context. A dispărut o parte din „semnăturile” tradiționale ale scam-urilor: greșelile gramaticale, tonul exagerat, incoerența. Când un e-mail arată ca o notificare reală de la un serviciu cunoscut și te conduce către o verificare Captcha „pentru securitatea contului”, tentația de a urma pașii e firească. Tocmai de aceea, educația digitală devine la fel de importantă ca un antivirus actualizat.

Semne care ar trebui să te pună pe gânduri
Există, totuși, indicii. O pagină care insistă să rulezi combinații de taste de sistem („Windows + R”) sau să lipești o comandă din clipboard nu este o practică obișnuită pentru un Captcha legitim. De asemenea, dacă „verificarea” apare după ce ai făcut click pe un link dintr-un mesaj insistent, fără să fi inițiat tu o acțiune, e un steag roșu. Iar când, după confirmare, sistemul începe să se comporte ciudat — ferestre care se închid brusc, procese necunoscute, ventilatoare turate fără motiv — înseamnă că ceva rulează în fundal și merită o verificare imediată.

Ce faci dacă ai căzut în capcană
Eset recomandă un protocol clar. Primul pas este o scanare antivirus completă pentru detectarea și eliminarea oricărui malware descărcat pe ascuns. Urmează deconectarea de la Internet pentru a limita comunicarea cu serverele de comandă și control, respectiv backup-ul fișierelor importante, acolo unde accesul mai este posibil. Apoi, dacă există suspiciuni puternice de compromitere, o resetare la setările din fabrică ale dispozitivului poate fi cea mai sigură cale de revenire. Paralelele preventive sunt la fel de importante: schimbă parolele dintr-un mediu curat, folosește combinații puternice și unice, salvează-le într-un manager de parole și activează autentificarea cu mai mulți factori (MFA) pentru conturile esențiale. Chiar dacă parolele au fost furate, MFA poate bloca accesul neautorizat.

De ce aceste atacuri funcționează
Succesul ClickFix și al variantelor sale are legătură cu felul în care ne raportăm la tehnologie. Suntem obișnuiți să bifăm rapid verificări, să închidem ferestre intruzive, să îndeplinim „pașii recomandați” pentru a merge mai departe. Atacatorii transformă această viteză într-un avantaj al lor, ascunzând comenzi într-o interfață banală. În plus, exploatează o zonă gri între legitimitate și abuz: folosesc instrumente Windows reale, astfel încât comportamentul inițial să arate „normal”. Când un proces precum PowerShell pornește, nu ridică imediat suspiciuni. Abia efectele — scurgerile de date, încetinirile, apariția unor programe noi — trădează ce s-a întâmplat.

Cum rămâi în control
Nu poți elimina complet riscul, dar îl poți reduce substanțial. Fii atent la context: de ce apare Captcha-ul? Vine în urma unei acțiuni inițiate de tine sau e declanșat de un link dintr-un mesaj nesolicitat? Verifică mereu adresa site-ului, certificatul și pagina pe care te afli. Nu rula combinații de taste sugerate de o pagină web, oricât de „oficial” ar arăta. Ține sistemul și aplicațiile la zi, mai ales browserul, extensiile și soluția de securitate. Și, atunci când ai dubii, ieși de pe pagină și accesează serviciul direct, tastând adresa în bară — nu din linkul primit.

Pe scurt, Captcha-ul nu e problema; falsul este. Într-un internet în care boții își fac simțită prezența, verificările automate vor rămâne parte din peisaj. Ceea ce trebuie să schimbăm este reflexul de a apăsa fără să gândim. O secundă în plus de atenție poate face diferența dintre accesul pe un site și accesul altcuiva la viața ta digitală.

Sursa: Eset