Как потерять деньги и аккаунты с помо­щью проверки «Я не робот»

С годами капча  ​становится все необычнее.

Этим решили воспользоваться хакеры. Они заменяют настоящую капчу на поддельную, убеждают пользователя выполнить ряд несложных действий — и в результате похищают его данные и деньги.

Схему назвали ClickFix. Злоумышленники не взламывают компьютер напрямую, а убеждают пользователя самостоятельно запустить опасную команду. Разберемся, как все работает и как защитить свои данные.

Наверняка вы хоть раз в жизни выбирали светофоры, чтобы доказать сайту, что вы не робот. Или пытались разобрать, какие цифры и буквы скрываются за кракозябрами, черточками и пятнами.

Еще в 2014 году исследование Google показало, что люди справляются со сложными буквенными капчами только в 33% случаев, тогда как нейросети решают их с вероятностью в 99,8%. Поэтому в том же году Google представила принципиально новый способ различать людей и компьютеры — ту самую галочку «Я не робот».

Технологию назвали noCaptcha: за незамысловатой проверкой скрывается множество алгоритмов, которые способны отличить человека от бота или нейросети. Если у капчи «закрадываются подозрения», она предлагает выполнить несложную задачу: решить пазл, подергать мышкой, в крайнем случае выбрать те же светофоры.

С годами разработчики нейросетей находят новые способы проходить проверки, а создатели капчи придумывают все новые загадки. Пользователей заставляют проходить лабиринты, слушать аудио, играть в мини-игры. Этим пользуются хакеры: на фоне таких проверок просьба нажать пару клавиш на клавиатуре уже не кажется странной.

На первый взгляд капчу хакеров невозможно отличить от настоящей. Причем вы ее можете встретить как на сайте, который посещаете впервые, так и на ресурсе, которым пользуетесь регулярно, — если хакеры смогли взломать его сервер и внедрить свой код.

Как и обычная капча, она предлагает нажать галочку «Я не робот». Затем делает вид, что выполняет проверку, и выносит вердикт: вы должны пройти дополнительный тест, чтобы доказать свою «человечность». Для этого просит последовательно нажать сочетания клавиш Win + R, Ctrl + V и Enter — или кнопку OK.

Капча выдаст сообщение, что проверка пройдена, но в это время ваши данные и даже деньги окажутся под угрозой. Вот что происходит на самом деле.

Шаг 1: копирование кода для загрузки вредоносной программы в буфер обмена. Когда человек кликает на квадратик «Я не робот», поддельная капча посылает браузеру указание поместить в буфер обмена текст команды, которую пользователю предстоит выполнить на следующем этапе. Браузер не замечает подвоха: для системы безопасности это ничем не отличается от команды «Копировать».

Далее капча имитирует проверку и требует от пользователя дополнительных действий.

Шаг 2: открытие окна «Выполнить». Поддельная капча просит нажать Win + R. Это сочетание открывает в Windows окно «Выполнить». В него можно вставить текстовую команду, и после подтверждения компьютер ее запустит.

Именно на это и рассчитывают мошенники. Если далее нажать Ctrl + V, в окно вставится текст, который капча заранее подложила в буфер обмена на предыдущем шаге.

Шаг 3: загрузка и выполнение команды. Пока человек не нажал Enter или OK, он в безопасности. После нажатия компьютер подключится к серверу хакеров, скачает и запустит вредоносную программу. Эта программа, ее еще называют «стилер», делает то, ради чего все и затевалось: собирает данные и отправляет их злоумышленникам.

Чаще всего в схеме ClickFix хакеры используют стилер StealC. Поскольку Windows считает, что пользователь сам запустил StealC, у программы будут все те же полномочия, что и у самого пользователя. А значит, стилер сможет спокойно получить данные браузера, вытащить из них логины и пароли от социальных сетей, интернет-банков и других сервисов.

StealC ворует не только браузерные данные: он сканирует систему на наличие криптокошельков, игровых аккаунтов, почтовых приложений. Некоторые версии программы способны регулярно делать снимки экрана и искать на компьютере конфиденциальные документы и фотографии.

После сбора он отправляет данные на управляющий сервер, маскируя передачу под обычный веб-трафик. Далее добытая информация используется для взлома или шантажа пользователя.

Самая надежная защита — даже не антивирус, а простое правило: никогда не запускайте команды, в смысле и назначении которых не разбираетесь.

Окно «Выполнить» — инструмент, через который можно легко и удобно управлять устройством, если знаете, что делаете. А если не знаете — так же легко навредить себе и компьютеру.

Если запустили команду на рабочем устройстве, лучше не решать проблему самостоятельно: под угрозой важные данные компании и даже критическая инфраструктура.

Как можно скорее обратитесь в поддержку или ИТ-отдел и расскажите о случившемся. Не бойтесь, что вас накажут: подобное может случиться с кем угодно. Последствия могут быть гораздо серьезнее, если попытаетесь скрыть инцидент.

Если выполнили команду на личном устройстве, самый надежный, но радикальный вариант — с нуля переустановить Windows, ведь современные стилеры могут оставлять незаметные хвосты и прятаться в системе месяцами.

Учтите, что переустановка удалит все данные на устройстве. Если там остались важные файлы, которые нужно сохранить, следуйте этим советам.

Отключите интернет. Как можно быстрее отключите интернет на устройстве — выключите Wi-Fi или отсоедините интернет-кабель. Это помешает скрипту загрузиться на компьютер или передать данные на сервер, если скрипт уже успел загрузиться.

Не пользуйтесь мессенджерами и соцсетями. И тем более не вводите логины и пароли на сайтах и в программах — иначе рискуете подарить их хакерам. Если нужно скопировать важные файлы, лучше запишите их на флешку или компакт-диск.

Запустите встроенную проверку Windows. Откройте настройки, выберите пункт «Безопасность Windows». Запустите полную проверку через Microsoft Defender. В отдельной инструкции рассказали, для чего нужен «Защитник Windows» и как его настроить.

Если доступен пункт «Автономная проверка», лучше выбрать ее: компьютер перезагрузится и проверит систему до старта других программ. Это часто эффективнее против стилеров и их хвостов. Если Microsoft Defender что-то нашел, соглашайтесь на удаление или карантин.

Смените пароли. Если в браузере были сохранены пароли, считайте их скомпрометированными и меняйте в первую очередь. Главное — сделать это на другом, нескомпрометированном устройстве, например на смартфоне.

Если не знаете, с чего начать, смените пароль от почты, а затем уже от остальных сервисов. В каждом сервисе найдите и нажмите «Выйти со всех устройств» или «Завершить все сессии».

Заодно убедитесь, что везде включена двухфакторная аутентификация. В таком случае, даже если хакеры получат доступ к паролям, они не смогут подобрать код, который вам пришлют в смс или пуш-уведомлении.

Защитите деньги. Позвоните в банк, объясните поддержке, что, вероятно, запустили вредоносную команду, с помощью которой хакеры крадут логины и пароли от банковского приложения. Попросите проверить подозрительные операции и перевыпустить карту при необходимости.