Co musisz wiedzieć:

• CERT ostrzega przed nową skalą oszustw dokonywanych w kampaniach phishingowych.
• Do przestępstw wykorzystywany jest system CAPTCHA.
• Jeśli przy weryfikacji typu "Nie jestem robotem"  widzisz skróty typu Windows+R czy prośbę o wklejenie komendy - przerwij i zgłoś incydent do CERT.

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) jest nieodłącznym elementem codziennego funkcjonowania w sieci, który prawdopodobnie zna każdy. To zestaw testów, które mają odróżnić człowieka od bota: od przepisywania zniekształconych znaków i wyboru obrazków po nowsze mechanizmy behawioralne. Zespół CERT Polska ostrzega, że to nowy sposób oszustów na zhakowanie naszych komputerów czy telefonów.  Nowy wariant wykorzystuje motyw weryfikacji użytkownika znany z wielu stron witryn, dlatego łatwo obniża czujność odbiorców.

• "Przegryw, któremu się nie udało". Burza w sieci po programie TVN
• ZUS wydał pilny komunikat
• PKO BP wydał pilny komunikat
• "Do psychiatry szoruj". Burza w sieci po programie TVN
• Ważny komunikat dla mieszkańców Warszawy
• Niepokojące doniesienia z granicy. Komunikat Straży Granicznej
• Rząd podjął decyzję. To cios dla emerytów
• IMGW wydał komunikat. Oto co nas czeka
• Atak na gigantyczną skalę. Wyciekły loginy i hasła milionów użytkowników
• "Może skończyć się śmiercią". Smutny komunikat warszawskiego zoo
• Koniec paznokci hybrydowych? 1 września wchodzi zakaz
• Eksplozja na Lubelszczyźnie. Jest nagranie
• Wojsko wyjechało na drogi. Pilny komunikat sztabu

Zgubny nawyk "kliknij i idź dalej"

Najnowsza wersja CAPTCHA v3 często nie pokazuje użytkownikowi żadnej łamigłówki, bo ocenia interakcje w tle. Również alternatywy, takie jak Turnstile od Cloudflare, starają się ograniczać uciążliwe zagadki, zostawiając wyzwanie tylko w przypadku niskiego poziomu zaufania. W teorii ma to powstrzymywać spam i masowe rejestracje, w praktyce - tworzy nawyk "kliknij i idź dalej". Ten kompromis między użytecznością a bezpieczeństwem ma skutki uboczne: przyzwyczajeni do automatycznego "odhaczania" ramek, rzadziej analizujemy kontekst i treść komunikatów. Okazuje się jednak, że warto poświęcić kilka dodatkowych sekund na zastanowienie, zanim zaznaczymy "Nie jestem robotem".

Jak działa oszustwo "na CAPTCHA"?

Fałszywa strona podszywa się pod znajomy panel i podaje kolejną rzekomą fazę weryfikacji. Ofiara widzi instrukcję: skopiuj podsunięty ciąg znaków, naciśnij Windows+R, wklej, zatwierdź przyciskiem Enter.

W teorii, tak samo jak zaznaczenie wszystkich obrazków na których widzimy samochód, takie działanie ma udowodnić, że nie jesteśmy botem, który usiłuje dostać się na stronę. W rzeczywistości jednak takie polecenia otwierają w systemie Windows okno „Uruchom” i zmuszają do startu złośliwego skryptu i malware - w opisanych kampaniach był to m.in. Lumma Stealer wykradający poufne dane logowania.

To socjotechnika w czystej postaci: wzorzec „Nie jestem robotem” wyłącza krytycyzm i maskuje realne ryzyko. Kluczowa zasada obrony brzmi: prawdziwa CAPTCHA nigdy nie każe opuszczać strony ani otwierać systemowych okien. Jeśli widzisz skróty typu Windows+R czy prośbę o wklejenie komendy - przerwij i zgłoś incydent do CERT. Państwowy numer 8080 przyjmuje podejrzane SMS-y, a formularz incydent.cert.pl i adres [email protected] służą do zgłaszania maili oraz stron. Po infekcji przestępcy przechwytują zapisane hasła, pliki cookies i dostęp do poczty, co ułatwia dalsze podszycia, reset haseł, a także kradzież pieniędzy.

Dane CERT porażają

Skala oszustw dokonywanych w kampaniach phishingowych jest porażająca: w 2024 r. lista ostrzeżeń CERT blokowała 75 mln prób wejścia na podejrzane domeny, a wzorce SMS - oparte na zgłoszeniach obywateli - zatrzymały 1 073 744 wiadomości od oszustów. To tło, na którym najnowsze ostrzeżenie nabiera ciężaru. Według NASK na Listę Ostrzeżeń trafia średnio 265 nowych adresów dziennie, co pokazuje, jak szybko ewoluuje ekosystem fałszywych stron i kampanii przestępczych.