Falešné CAPTCHA testy se v posledních měsících staly jedním z nejrychleji rostoucích internetových podvodů. Útočníci totiž zjistili, že lidé známému políčku „Nejsem robot“ automaticky důvěřují a klikají na něj téměř bez přemýšlení. Právě tato rutina dnes kyberzločincům výrazně hraje do karet.
Mohlo by vás zajímat
Klasická CAPTCHA přitom vznikla jako ochrana proti robotům a spamovým účtům. Typicky po uživateli chce označit obrázky semaforů, opsat znaky nebo jen potvrdit, že je člověk. Modernější varianty fungují ještě nenápadněji a ověřují uživatele na pozadí podle jeho chování na webu. Jenže právě důvěryhodnost tohoto systému začali útočníci masivně zneužívat.
Podvod obvykle začíná nenápadně. Na obrazovce vyskočí falešná bezpečnostní kontrola, která vypadá jako běžné ověření. Rozdíl je v tom, že po kliknutí následují nestandardní pokyny. Některé stránky chtějí otevřít SMS aplikaci a odeslat předpřipravenou zprávu na zahraniční číslo. Jiné uživatele navádějí ke spuštění systémového příkazu, stažení souboru nebo vložení textu do systémového okna. A právě tím často dochází k instalaci škodlivého softwaru.
Bezpečnostní experti upozorňují, že falešné CAPTCHA útoky dnes neslouží jen k okamžitému finančnímu podvodu. Často jde o první krok k mnohem vážnějšímu útoku. Malware následně může krást uložená hesla, přihlašovací údaje, obsah prohlížeče nebo získat přístup k internetovému bankovnictví. Některé útoky dokonce fungují zcela bez ukládání souborů na disk, takže je běžný antivirus odhaluje výrazně hůř.
Právě jednoduchost dělá tento typ podvodu tak nebezpečný. Útočníci nespoléhají na technickou neznalost, ale na automatické chování lidí. CAPTCHA test většina uživatelů považuje za běžnou součást internetu, a proto u něj často ztratí obezřetnost. Podezřelé přitom bývá už samotné prostředí stránky. Varováním může být nesrozumitelná webová adresa, agresivní vyskakovací okno nebo požadavek na akci mimo prohlížeč.
Odborníci doporučují zpozornět pokaždé, když ověření žádá něco neobvyklého. Skutečná CAPTCHA nikdy nepotřebuje posílat SMS, spouštět systémové příkazy ani instalovat soubory. Pokud už člověk na podobný podvod klikne, měl by okamžitě zavřít stránku, odpojit zařízení od internetu, spustit antivirovou kontrolu a změnit důležitá hesla z jiného bezpečného zařízení.
