در ماه‌های گذشته، شکل تازه‌ای از حملات اینترنتی شناسایی شده که به‌جای روش‌های پیچیده هک، از اعتماد کاربران به ابزارهای رایج وب استفاده می‌کند. در این روش، صفحه‌ای کاملاً شبیه پیام آشنای «من ربات نیستم» یا همان کپچاهای معمول طراحی شده و کاربران را فریب می‌دهد.

 بررسی‌های امنیتی نشان می‌دهد هکرها با استفاده از نسخه‌های جعلی صفحه‌های تأیید انسان بودن، کاربران را مرحله‌به‌مرحله به سمت اجرای دستورهایی هدایت می‌کنند که در نهایت به نصب بدافزار روی سیستم منجر می‌شود؛ آن هم بدون اینکه هشدار مشخص یا نشانه واضحی از خطر دیده شود. نتیجه این فرایند می‌تواند سرقت اطلاعات شخصی، حساب‌های کاربری و حتی دارایی‌های رمزارزی باشد.

شرکت امنیت سایبری امریکایی DNSFilter، گزارش داده است که تنها یکی از این صفحات جعلی در بازه‌ی کوتاه چندروزه بیش از ۲۰ بار با کاربران واقعی مواجه شده و حدود ۱۷ درصد از افراد مراحل خواسته‌شده را تا انتها انجام داده‌اند. آماری که نشان می‌دهد این روش، به‌دلیل سادگی و ظاهر آشنا، می‌تواند کاربران زیادی را ناخواسته در دام حملات سایبری گرفتار کند.

 CAPTCHA چیست و چرا خطرناک شده است؟

 صفحه‌های CAPTCHA (که معمولاً شامل تیک زدن «I’m not a robot» هستند) ابزاری امنیتی برای تشخیص انسان از ربات در سایت‌ها هستند. این ابزارها بخشی از سیستم امنیتی شرکت‌هایی مثل Google reCAPTCHA یا Cloudflare هستند تا از ورود یا ارسال خودکار اطلاعات توسط ربات‌ها جلوگیری کنند.

روش کار هکرها چگونه است؟

 ماجرا معمولاً از یک صفحه کاملاً عادی شروع می‌شود؛ صفحه‌ای که شبیه همان «من ربات نیستم» ‌هایی است که بارها در سایت‌های مختلف دیده‌ایم.

 اول/ کاربر وارد یک سایت یا لینک می‌شود
  این لینک می‌تواند از طریق تبلیغ، پیام، سایت دانلود، یا حتی یک صفحه به‌ظاهر معتبر باشد. صفحه‌ای باز می‌شود که دقیقاً شبیه صفحه تأیید «I’m not a robot» است.

دوم/ کاربر روی تیک «من ربات نیستم» کلیک می‌کند
  در همین لحظه، بدون اینکه چیزی روی صفحه دیده شود، یک دستور مخفی در حافظه موقت سیستم (کلیپ‌بورد) کپی می‌شود. کاربر هیچ پیام هشدار یا دانلودی نمی‌بیند.

سوم/ صفحه از کاربر می‌خواهد چند کلید ساده بزند
  مثلاً می‌گوید برای تکمیل تأیید، دکمه‌های خاصی را فشار بده (مثل باز کردن Run در ویندوز و چسباندن دستور). چون این مراحل ساده به نظر می‌رسند، خیلی‌ها بدون شک کردن آن‌ها را انجام می‌دهند.

چهارم/ بدافزار نصب می‌شود، بدون اینکه کاربر بفهمد
  با انجام این کار، سیستم به‌طور ناخواسته یک برنامه مخرب را از اینترنت دانلود و اجرا می‌کند. این بدافزار می‌تواند اطلاعات مهم مثل رمزها یا کیف‌پول رمزارزی را سرقت کند.

این روش که با نام ClickFix شناخته می‌شود، در واقع ترفندی است که هکرها با آن کاری می‌کنند کاربر، تنها با چند کلیک ساده و به تصور انجام یک کار عادی، خودش ناخواسته بدافزار را روی سیستمش فعال کند.

بدافزار چه کار می‌کند؟

 یکی از شناخته‌شده‌ترین بدافزارهایی که از این روش توزیع می‌شود Lumma Stealer است که بعد از نصب مخفیانه روی سیستم کاربر، شروع به سرقت اطلاعات حساس می‌کند؛ از جمله رمزهای عبور، داده‌های مرورگر و اطلاعات کیف‌پول‌های رمزارزی. این بدافزار بدون ایجاد هشدار یا نشانه واضح کار می‌کند و می‌تواند در مدت کوتاهی اطلاعات مالی کاربر را برای هکرها ارسال کند، به‌طوری که قربانی معمولاً زمانی متوجه می‌شود که دارایی یا حساب‌هایش خالی شده است.

 این بدافزارها به‌گونه‌ای طراحی شده‌اند که در کمترین زمان ممکن پس از اجرای دستور نصب می‌شوند و شروع به جستجوی فایل‌ها و داده‌های با ارزش مالی می‌کنند.

پس از سرقت این اطلاعات، هکر می‌تواند در عرض چند دقیقه دارایی رمزارزی را به آدرس‌های دیگر منتقل کند طوری که شواهد تراکنش در شبکه بلاک‌چین ثبت شود و حتی دسترسی به پول را بسیار سخت یا غیرممکن کند.

 این شگرد فقط مختص Lumma Stealer نیست. نمونه‌های مشابهی مانند EddieStealer نیز که یک بدافزار سرقت اطلاعات است، از صفحات CAPTCHA جعلی برای سرقت اطلاعات استفاده کرده‌اند که نشان می‌دهد هکرها به‌سرعت در حال تطبیق روش‌ها و افزایش پیچیدگی حملات هستند.  

 علاوه بر این، کمپین‌های بزرگی گزارش شده‌اند که هزاران وب‌سایت را آلوده کرده‌اند و صفحات CAPTCHA جعلی را در قالب‌هایی در سایت‌های معتبر، PDF های به‌ظاهر قانونی یا صفحات تبلیغاتی پنهان کرده‌اند.

 چطور می‌توان از این تهدید جلوگیری کرد؟

کارشناسان امنیتی شرکت‌های Microsoft Security (واحد امنیت سایبری مایکروسافت) و Malwarebytes (فعال در حوزه شناسایی و حذف بدافزارها)، توصیه‌هایی برای کاربران ارائه کرده‌اند تا خطر گرفتار شدن در حملات صفحات جعلی «I’m not a robot» کاهش یابد:

 ۱. مراقب صفحات CAPTCHA باشید: اگر صفحه CAPTCHA اطلاعات غیرعادی یا دستورهای عجیب مثل باز کردن پنجره Run را نشان داد، توقف کنید و هیچ‌گاه دستورهای نمایش‌داده‌شده را اجرا نکنید.

 ۲. نرم‌افزار امنیتی فعال کنید: داشتن یک آنتی‌ویروس به‌روز و ابزارهای امنیتی می‌تواند بسیاری از بدافزارها را پیش از اجرا شناسایی و مسدود کند. این ابزارها می‌توانند بدافزارهایی مانند Lumma یا EddieStealer را قبل از اینکه به داده‌های شما برسند، شناسایی کنند.

 ۳. از کیف‌پول‌های سخت‌افزاری استفاده کنید: اگر دارایی رمزارزی دارید، استفاده از کیف‌پول‌های سخت‌افزاری (offline cold wallets) به‌جای نگهداری در مرورگر یا دستگاه متصل به اینترنت می‌تواند امنیت دارایی‌تان را افزایش دهد.

 ۴. احراز هویت دو مرحله‌ای (۲FA): برای حساب‌های مرتبط با رمزارز و ایمیل، احراز هویت دو مرحله‌ای را فعال کنید تا حتی اگر اطلاعات ورود دزدیده شود، هکر نتواند به‌راحتی وارد حساب شما شود.

 ۵. آموزش و دقت در اینترنت: بدافزارهای مدرن از اعتماد کاربران به فرایندهای معمول امنیتی سوءاستفاده می‌کنند. اگر چیزی در صفحه یا رفتار سایت غیرعادی به نظر می‌رسد، همیشه قبل از کلیک کردن بیشتر تحقیق کنید.