CAPTCHA Giả Mạo Gieo Rắc Mã Độc - Nguy Cơ Thật
Không ai thực sự yêu thích CAPTCHA. Việc phải giải mã những ký tự loằng ngoằng hay chọn hình ảnh để chứng minh mình không phải robot đã đủ phiền toái. Mục đích ban đầu của chúng là bảo mật, nhưng giờ đây, CAPTCHA giả mạo đang biến chúng thành một vũ khí mới trong kho vũ khí của tin tặc. Chúng lừa đảo người dùng tải xuống phần mềm độc hại, khiến sự khó chịu ban đầu biến thành một mối đe dọa thực sự.
Sự gia tăng của các cuộc tấn công này cho thấy tin tặc luôn tìm cách khai thác sự quen thuộc và thiếu cảnh giác của người dùng. Một thao tác đơn giản như "Tôi không phải là robot" có thể ẩn chứa nguy hiểm khôn lường.
CAPTCHA không phải lúc nào cũng vô hại
Thông thường, CAPTCHA chỉ lấy đi vài giây quý báu của bạn, nhưng chúng không gây hại. Tuy nhiên, một chiến dịch lừa đảo CAPTCHA mới đang nhắm mục tiêu vào người dùng Windows, biến những câu đố phiền toái này thành cánh cửa cho phần mềm độc hại nguy hiểm chỉ với vài thao tác gõ phím.
Trong khi bạn đang bận rộn chứng minh mình không phải là robot, tin tặc đã sử dụng các trang CAPTCHA giả mạo để lừa bạn thực hiện một tác vụ cài đặt phần mềm độc hại. Bạn vẫn không truy cập được vào trang web mình muốn, nhưng tin tặc đã có được quyền truy cập hoàn toàn vào máy tính của bạn. Điều đáng lo ngại là những xác minh giả mạo này được thiết kế trông giống hệt các kiểm tra bảo mật Cloudflare thông thường, khiến việc phân biệt thật giả trở nên cực kỳ khó khăn. Chúng ta đã quá quen với việc hoàn thành nhiệm vụ và tiếp tục mà không hề suy nghĩ xem việc xác minh đó là thật hay giả.
CAPTCHA Cloudflare thật
Phần mềm độc hại được cài đặt là Stealthy StealC, một loại phần mềm đánh cắp thông tin cực kỳ nguy hiểm. Nó có khả năng đánh cắp thông tin đăng nhập khi bạn đang duyệt web, dữ liệu từ ví tiền điện tử, thông tin từ email Outlook, thông tin tài khoản Steam và nhiều dữ liệu nhạy cảm khác. Điều tồi tệ hơn là tin tặc không chỉ dựa vào các trang web đáng ngờ. Chúng đang xâm nhập các trang CAPTCHA trên những trang web hợp pháp bằng cách chèn một đoạn mã JavaScript độc hại đơn giản. Đoạn mã này sẽ thay thế CAPTCHA thật bằng CAPTCHA giả, một hình thức clickjacking, khiến những trang web đáng tin cậy đột nhiên trở nên độc hại.
Cảnh Giác Với CAPTCHA Sử Dụng Phím Tắt
Các CAPTCHA hợp lệ thường yêu cầu bạn thực hiện các tác vụ trực quan như di chuyển một mảnh ghép, nhập các chữ cái ngẫu nhiên, chọn hình ảnh cụ thể từ một tập hợp hoặc giải một bài toán đơn giản. Tuy nhiên, những CAPTCHA giả mạo chứa phần mềm độc hại này lại có một đặc điểm nhận dạng khác biệt và nguy hiểm.
Chúng yêu cầu người dùng nhấn một loạt các phím tắt. Đây là một dấu hiệu cảnh báo đỏ rõ ràng: CAPTCHA hợp lệ sẽ không bao giờ yêu cầu bạn nhập bất kỳ phím tắt nào. Trong trường hợp cụ thể của chiến dịch này, tổ hợp phím là Win + R để mở cửa sổ Run ở chế độ nền. Sau đó, bạn được yêu cầu nhấn Ctrl + V để dán một lệnh độc hại, mặc dù bạn không nhìn thấy nó trên màn hình. Cuối cùng, bạn được yêu cầu nhấn phím Enter, thao tác này sẽ thực thi lệnh và tải xuống phần mềm độc hại mà bạn không hề hay biết.
Kiểu tấn công này không phải là mới và chắc chắn sẽ không phải là lần cuối. Chỉ một năm trước, phần mềm độc hại EDDIESTEALER đã nhắm mục tiêu vào người dùng Windows trên trình duyệt Chrome để cài đặt phần mềm độc hại thông qua các trang CAPTCHA giả mạo tương tự. Điều này cho thấy tin tặc liên tục tái sử dụng và cải tiến các phương pháp tấn công hiệu quả.
Cách phân biệt CAPTCHA thật và CAPTCHA giả
Hầu hết các CAPTCHA bạn gặp đều là thật và là một công cụ xác minh hợp pháp để bảo vệ các trang web khỏi bot, đặc biệt là với sự gia tăng của trí tuệ nhân tạo (AI) và việc thu thập dữ liệu web bằng AI. Tuy nhiên, việc nhận biết các dấu hiệu của CAPTCHA độc hại là rất quan trọng:
Yêu cầu chạy script hoặc lệnh: Bất kỳ CAPTCHA nào yêu cầu bạn thực hiện các hành động như chạy một script hoặc lệnh đều là giả mạo.
Ô chọn "I’m Not a Robot" dẫn đến danh sách phím tắt: Nếu sau khi nhấp vào ô này, bạn được yêu cầu nhấn các phím tắt thay vì một thử thách hình ảnh thông thường, hãy cảnh giác.
CAPTCHA xuất hiện ngẫu nhiên: CAPTCHA thường xuất hiện khi đăng nhập, đăng ký hoặc lần đầu truy cập một trang web. Nếu nó xuất hiện một cách bất thường hoặc không liên quan đến hành động của bạn, đó có thể là dấu hiệu lừa đảo.
CAPTCHA mở một trang mới với URL hơi bị thay đổi: Luôn kiểm tra URL. Một CAPTCHA giả mạo có thể chuyển hướng bạn đến một trang có URL gần giống nhưng không hoàn toàn chính xác.
Khoảng cách kỳ lạ hoặc lỗi ngữ pháp: Các lỗi chính tả, ngữ pháp hoặc định dạng bất thường trong hướng dẫn của CAPTCHA là dấu hiệu của một trang web giả mạo.
Hình ảnh chất lượng cực thấp và yêu cầu phím tắt: Nếu hình ảnh mờ, chất lượng kém và yêu cầu bạn sử dụng phím tắt thay vì chọn hình ảnh, đó là một cảnh báo.
Ngoài ra, hãy luôn chú ý đến những gì đang xảy ra ở chế độ nền. Nếu bạn đang tương tác với CAPTCHA và thấy biểu tượng PowerShell hoặc Command Prompt xuất hiện trên thanh tác vụ, hãy dừng mọi việc bạn đang làm và thoát khỏi trang có CAPTCHA ngay lập tức. Đây là dấu hiệu rõ ràng cho thấy một script độc hại đang được thực thi.
Hãy Cân Nhắc Việc Vô Hiệu Hóa Các Script Trong Windows!
Mặc dù có vẻ hơi cực đoan, nhưng việc vô hiệu hóa Windows Script Host (WSH) có thể giúp ngăn chặn hiệu quả các script độc hại chạy trên hệ thống của bạn. Bạn cũng có thể sử dụng phương pháp ít cực đoan hơn là ngăn Windows chạy bất kỳ script nào chưa được ký.
Nếu bạn có quyền admin và cảm thấy thoải mái khi chỉnh sửa Registry, bạn có thể vô hiệu hóa Windows Script Host. Quá trình này khá đơn giản và bạn có thể dễ dàng bật lại nó bất cứ khi nào cần.
Nhấn phím Win + R, nhập regedit và nhấn Enter để mở Registry Editor.
Điều hướng đến khóa sau:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\SettingsTrong ngăn bên phải, nhấp chuột phải vào vùng trống và chọn New → DWORD (32-bit) Value.
Tạo một giá trị DWORD mới trong Windows Script Host
Đặt tên cho giá trị mới là Enabled.
Nhấp đúp vào giá trị Enabled vừa tạo và đặt giá trị là 0.
Đặt giá trị về 0 trong Registry
Khởi động lại PC để áp dụng thay đổi. Nếu bạn muốn cho phép các script chạy lại, chỉ cần đặt giá trị của Enabled thành 1.
Phương pháp này sẽ chặn tất cả các script chạy qua WSH, bao gồm cả những script hợp pháp. Tuy nhiên, với mức độ nguy hiểm của các cuộc tấn công hiện nay, đây có thể là một biện pháp phòng ngừa đáng giá.
Chặn JavaScript trên các trang web
Một phương pháp khác để ngăn chặn CAPTCHA giả mạo và các cuộc tấn công dựa trên script là chặn các phần tử JavaScript trên những trang web. Điều này có thể làm hỏng một số tính năng trên các trang web yêu thích của bạn, nhưng bạn luôn có thể bật JavaScript cho từng trang web riêng lẻ khi cần.
Bạn có thể tìm thấy cài đặt JavaScript trong cài đặt trình duyệt yêu thích của mình (ví dụ: Chrome, Firefox, Edge). Hoặc, hãy cân nhắc sử dụng tiện ích mở rộng chặn script mạnh mẽ như NoScript, cho phép bạn kiểm soát chi tiết script nào được phép chạy. Hoặc, hãy thử một tiện ích mở rộng bảo mật và quyền riêng tư toàn diện hơn như uBlock Origin để tùy chỉnh những gì bạn muốn chặn, từ quảng cáo đến các script độc hại.
CAPTCHA giả mạo sẽ không biến mất. Chúng là một phần của cuộc chiến không ngừng giữa tin tặc và các biện pháp bảo mật. Nhưng bằng cách chủ động chặn các script chạy và đặc biệt chú ý kỹ đến hướng dẫn của CAPTCHA, bạn sẽ dễ dàng hơn rất nhiều trong việc tránh khỏi phần mềm độc hại ẩn giấu và bảo vệ thông tin cá nhân của mình.
