Leave a Comment / Okos Pénz / By

Hogyan ismerjük fel a CAPTCHA-csalást

A CAPTCHA hosszú évek óta az internet egyik legismertebb biztonsági eszköze. Éppen ezért különösen hatékony, amikor a csalók ugyanezt a formát használják arra, hogy a felhasználó saját kezével indítson el egy kártékony folyamatot.

A meglepő felismerés nem az, hogy léteznek hamis ellenőrző oldalak. Hanem az, hogy ezek sokszor nem adatokat próbálnak kicsalni, hanem látszólag ártalmatlan billentyűparancsok végrehajtására veszik rá az embert.

A háttérben nem feltétlenül bonyolult technikai trükk áll. Sokkal inkább egy egyszerű emberi tulajdonság: hajlamosak vagyunk automatikusan megbízni azokban a folyamatokban, amelyekkel nap mint nap találkozunk.

Miről lesz szó pontosan:

Miért hiszünk egy CAPTCHA-nak szinte gondolkodás nélkül?

A CAPTCHA eredeti célja egyszerű: eldönteni, hogy egy weboldalt ember vagy automatizált program használ-e. Mivel ezt a kis ellenőrzést évek óta naponta látjuk, kialakult bennünk egy reflex. Ha megjelenik egy „Nem vagyok robot” jelölőnégyzet vagy egy hasonló ellenőrzés, automatikusan a biztonsághoz kapcsoljuk.

A csalók pontosan erre építenek. Nem egy ismeretlen felületet mutatnak, hanem valamit, amivel már ezerszer találkoztunk. A támadás ereje ezért nem a technológiában rejlik, hanem a bizalom kihasználásában.

Sietős helyzetben különösen könnyű átsiklani a részletek felett. Ha egy oldal azt állítja, hogy a továbblépéshez egy gyors ellenőrzést kell elvégezni, sokan követik az utasításokat anélkül, hogy végiggondolnák, miért kér ilyesmit egy CAPTCHA.

A támadás kulcsa nem technikai, hanem viselkedési: a felhasználó azt hiszi, egy ismert biztonsági folyamatot követ, miközben valójában valami egészen mást hajt végre.

Amikor az ellenőrzés helyett parancsot kapunk

Az utóbbi időben egyre gyakrabban jelentek meg olyan hamis CAPTCHA-k, amelyek arra kérik a látogatót, hogy nyomja meg a Windows + R billentyűket, illesszen be egy parancsot a Ctrl + V segítségével, majd nyomjon Entert.

Első pillantásra ez akár ártalmatlannak is tűnhet. Valójában azonban ezek a lépések megnyitják a Windows Futtatás ablakát, majd végrehajtanak egy előre elkészített parancsot. Ha ez a parancs kártékony programot tölt le vagy indít el, a fertőzés már meg is történt.

A jelenséget a kiberbiztonsági szakemberek gyakran a ClickFix támadások közé sorolják. Brian Krebs kiberbiztonsági újságíró a ClickFix: How to Infect Your PC in Three Easy Steps című elemzésében bemutatja, hogy ezek a módszerek tudatosan építenek arra a bizalomra, amelyet a CAPTCHA-k évek alatt kialakítottak a felhasználókban.

Valódi CAPTCHA Hamis CAPTCHA
Az emberi jelenlétet ellenőrzi Parancs végrehajtására kér
A böngészőn belül működik Az operációs rendszerbe avatkozik be
Nem kér billentyűkombinációkat Kifejezetten erre épít

Van egy egyszerű szabály, amely szinte minden esetben működik.

A valódi CAPTCHA nem kér operációs rendszer szintű parancsokat.

Ha egy ellenőrzés billentyűkombinációkat, parancsbeillesztést vagy rendszerablak megnyitását kéri, az már önmagában figyelmeztető jel.

A legnagyobb kockázat nem a felugró ablak, hanem ami utána következik

A fertőzés célja általában nem maga a számítógép. Sokkal értékesebbek a rajta tárolt adatok.

A támadók megszerezhetik az e-mail-fiókokhoz tartozó belépési adatokat, a böngészőben mentett jelszavakat, különféle hitelesítő adatokat vagy akár pénzügyi szolgáltatásokhoz kapcsolódó információkat is. Emiatt egy látszólag jelentéktelen kattintás vagy billentyűparancs később komoly következményekkel járhat.

Sokan úgy gondolják, hogy ilyenkor elég bezárni a böngészőablakot. Ez azonban csak addig igaz, amíg nem történt tényleges parancsvégrehajtás. Ha a folyamat már elindult, a böngésző bezárása önmagában nem állítja le a háttérben futó műveleteket.

A technikai védelem és az óvatos viselkedés nem egymás helyettesítője. A kettő együtt működik igazán jól.

Egy terület, ahol a rutin különösen veszélyes lehet

Ha szervezetnél dolgozol, érdemes ezt a csalástípust a biztonságtudatossági képzések részeként is bemutatni. A támadás sikere ugyanis sokszor nem technikai hiányosságon múlik, hanem emberi rutinokon.

Mit tegyél, ha már végrehajtottad a parancsot?

Ha gyanús parancsot futtattál, az első lépés az internetkapcsolat megszakítása. Ezzel csökkentheted annak esélyét, hogy egy esetleges kártevő további adatokat küldjön ki, vagy újabb összetevőket töltsön le.

Ezután érdemes teljes rendszerellenőrzést futtatni egy megbízható biztonsági programmal. Ha felmerül a fertőzés gyanúja, a fontos jelszavakat lehetőleg egy másik, biztosan tiszta eszközről változtasd meg.

A kétlépcsős hitelesítés bekapcsolása szintén fontos védelem lehet. Ha ugyanis egy jelszó illetéktelen kézbe kerül, a második azonosítási lépcső még megakadályozhatja a belépést.

Lépésről lépésre útmutató fertőzésgyanú esetére

  1. Azonnal szakítsd meg az internetkapcsolatot.
  2. Futtass teljes biztonsági ellenőrzést.
  3. Egy másik eszközről változtasd meg a fontos jelszavakat.
  4. Kapcsold be a kétlépcsős hitelesítést.
  5. Ellenőrizd a fiókjaidban a szokatlan aktivitást.
  6. Jelentsd az esetet az érintett szolgáltatóknak vagy hatóságoknak.

Pro tipp: ha egy CAPTCHA rendszerparancs végrehajtását kéri, kezeld automatikusan gyanúsnak, függetlenül attól, mennyire hitelesnek tűnik.

Nem minden kibertámadás technikai trükk – sokszor emberi reflexekre épül

A hamis CAPTCHA-k azért különösen érdekesek, mert nem egy szoftverhibát használnak ki, hanem egy megszokást. Az internetes biztonságra gyakran tisztán technikai kérdésként gondolunk, pedig sok esetben a saját döntéseink jelentik az első védelmi vonalat.

A legfontosabb tanulság egyszerű.

A CAPTCHA ellenőriz, nem utasít.

Ha egy weboldal ettől eltérő viselkedést kér, érdemes megállni néhány másodpercre, és végiggondolni, pontosan mit akar végrehajtatni velünk. Sokszor ennyi is elég ahhoz, hogy egy csalás ne érje el a célját.