Как потерять деньги и аккаунты с помо­щью проверки «Я не робот»

Алексей Малахов 🦣

ответственный редактор

Профиль автора

С годами капчастановится все необычнее.

Этим решили воспользоваться хакеры. Они заменяют настоящую капчу на поддельную, убеждают пользователя выполнить ряд несложных действий — и в результате похищают его данные и деньги.

Схему назвали ClickFix. Злоумышленники не взламывают компьютер напрямую, а убеждают пользователя самостоятельно запустить опасную команду. Разберемся, как все работает и как защитить свои данные.

Приложение Т—Ж

Статьи и расчеты теперь в новой версии приложения на iOS и Android. Вместе с бесплатными курсами Учебника

Скачать

Какая бывает капча

Наверняка вы хоть раз в жизни выбирали светофоры, чтобы доказать сайту, что вы не робот. Или пытались разобрать, какие цифры и буквы скрываются за кракозябрами, черточками и пятнами.

Еще в 2014 году исследование Google показало, что люди справляются со сложными буквенными капчами только в 33% случаев, тогда как нейросети решают их с вероятностью в 99,8%. Поэтому в том же году Google представила принципиально новый способ различать людей и компьютеры — ту самую галочку «Я не робот».

Технологию назвали noCaptcha: за незамысловатой проверкой скрывается множество алгоритмов, которые способны отличить человека от бота или нейросети. Если у капчи «закрадываются подозрения», она предлагает выполнить несложную задачу: решить пазл, подергать мышкой, в крайнем случае выбрать те же светофоры.

С годами разработчики нейросетей находят новые способы проходить проверки, а создатели капчи придумывают все новые загадки. Пользователей заставляют проходить лабиринты, слушать аудио, играть в мини-игры. Этим пользуются хакеры: на фоне таких проверок просьба нажать пару клавиш на клавиатуре уже не кажется странной.

Как выглядит мошенническая капча и что она делает

На первый взгляд капчу хакеров невозможно отличить от настоящей. Причем вы ее можете встретить как на сайте, который посещаете впервые, так и на ресурсе, которым пользуетесь регулярно, — если хакеры смогли взломать его сервер и внедрить свой код.

Как и обычная капча, она предлагает нажать галочку «Я не робот». Затем делает вид, что выполняет проверку, и выносит вердикт: вы должны пройти дополнительный тест, чтобы доказать свою «человечность». Для этого просит последовательно нажать сочетания клавиш Win + R, Ctrl + V и Enter — или кнопку OK.

Капча выдаст сообщение, что проверка пройдена, но в это время ваши данные и даже деньги окажутся под угрозой. Вот что происходит на самом деле.

Шаг 1: копирование кода для загрузки вредоносной программы в буфер обмена. Когда человек кликает на квадратик «Я не робот», поддельная капча посылает браузеру указание поместить в буфер обмена текст команды, которую пользователю предстоит выполнить на следующем этапе. Браузер не замечает подвоха: для системы безопасности это ничем не отличается от команды «Копировать».

Далее капча имитирует проверку и требует от пользователя дополнительных действий.

Шаг 2: открытие окна «Выполнить». Поддельная капча просит нажать Win + R. Это сочетание открывает в Windows окно «Выполнить». В него можно вставить текстовую команду, и после подтверждения компьютер ее запустит.

Именно на это и рассчитывают мошенники. Если далее нажать Ctrl + V, в окно вставится текст, который капча заранее подложила в буфер обмена на предыдущем шаге.

Шаг 3: загрузка и выполнение команды. Пока человек не нажал Enter или OK, он в безопасности. После нажатия компьютер подключится к серверу хакеров, скачает и запустит вредоносную программу. Эта программа, ее еще называют «стилер», делает то, ради чего все и затевалось: собирает данные и отправляет их злоумышленникам.

Чаще всего в схеме ClickFix хакеры используют стилер StealC. Поскольку Windows считает, что пользователь сам запустил StealC, у программы будут все те же полномочия, что и у самого пользователя. А значит, стилер сможет спокойно получить данные браузера, вытащить из них логины и пароли от социальных сетей, интернет-банков и других сервисов.

StealC ворует не только браузерные данные: он сканирует систему на наличие криптокошельков, игровых аккаунтов, почтовых приложений. Некоторые версии программы способны регулярно делать снимки экрана и искать на компьютере конфиденциальные документы и фотографии.

После сбора он отправляет данные на управляющий сервер, маскируя передачу под обычный веб-трафик. Далее добытая информация используется для взлома или шантажа пользователя.

Как защититься от подобных атак

Самая надежная защита — даже не антивирус, а простое правило: никогда не запускайте команды, в смысле и назначении которых не разбираетесь.

Окно «Выполнить» — инструмент, через который можно легко и удобно управлять устройством, если знаете, что делаете. А если не знаете — так же легко навредить себе и компьютеру.

Что делать, если выполнили подозрительную команду

Если запустили команду на рабочем устройстве, лучше не решать проблему самостоятельно: под угрозой важные данные компании и даже критическая инфраструктура.

Как можно скорее обратитесь в поддержку или ИТ-отдел и расскажите о случившемся. Не бойтесь, что вас накажут: подобное может случиться с кем угодно. Последствия могут быть гораздо серьезнее, если попытаетесь скрыть инцидент.

Если выполнили команду на личном устройстве, самый надежный, но радикальный вариант — с нуля переустановить Windows, ведь современные стилеры могут оставлять незаметные хвосты и прятаться в системе месяцами.

Учтите, что переустановка удалит все данные на устройстве. Если там остались важные файлы, которые нужно сохранить, следуйте этим советам.

Отключите интернет. Как можно быстрее отключите интернет на устройстве — выключите Wi-Fi или отсоедините интернет-кабель. Это помешает скрипту загрузиться на компьютер или передать данные на сервер, если скрипт уже успел загрузиться.

Не пользуйтесь мессенджерами и соцсетями. И тем более не вводите логины и пароли на сайтах и в программах — иначе рискуете подарить их хакерам. Если нужно скопировать важные файлы, лучше запишите их на флешку или компакт-диск.

Запустите встроенную проверку Windows. Откройте настройки, выберите пункт «Безопасность Windows». Запустите полную проверку через Microsoft Defender. В отдельной инструкции рассказали, для чего нужен «Защитник Windows» и как его настроить.

Если доступен пункт «Автономная проверка», лучше выбрать ее: компьютер перезагрузится и проверит систему до старта других программ. Это часто эффективнее против стилеров и их хвостов. Если Microsoft Defender что-то нашел, соглашайтесь на удаление или карантин.

Смените пароли. Если в браузере были сохранены пароли, считайте их скомпрометированными и меняйте в первую очередь. Главное — сделать это на другом, нескомпрометированном устройстве, например на смартфоне.

Если не знаете, с чего начать, смените пароль от почты, а затем уже от остальных сервисов. В каждом сервисе найдите и нажмите «Выйти со всех устройств» или «Завершить все сессии».

Заодно убедитесь, что везде включена двухфакторная аутентификация. В таком случае, даже если хакеры получат доступ к паролям, они не смогут подобрать код, который вам пришлют в смс или пуш-уведомлении.

Защитите деньги. Позвоните в банк, объясните поддержке, что, вероятно, запустили вредоносную команду, с помощью которой хакеры крадут логины и пароли от банковского приложения. Попросите проверить подозрительные операции и перевыпустить карту при необходимости.