Chuyên gia cảnh báo thủ đoạn lừa đảo CAPTCHA giả đang lan rộng, chỉ một cú nhấp chuột có thể khiến thiết bị nhiễm phần mềm đánh cắp dữ liệu.
Hiểu về CAPTCHA
Các chuyên gia an ninh mạng cảnh báo về một thủ đoạn mới đang được tội phạm mạng sử dụng là CAPTCHA giả mạo. Đây là dạng kiểm tra “Tôi không phải là người máy” quen thuộc nhưng được thiết kế để lây nhiễm phần mềm độc hại vào thiết bị người dùng, theo Indianexpress.
CAPTCHA là viết tắt của cụm tiếng Anh "Completely Automated Public Turing test to tell Computers and Humans Apart", tạm dịch là “Bài kiểm tra Turing công khai hoàn toàn tự động để phân biệt máy tính và con người”.
Công cụ này thường xuất hiện dưới dạng chọn hình ảnh, nhập văn bản méo, tín hiệu âm thanh hoặc chỉ cần đánh dấu vào ô (reCAPTCHA) để xác nhận bạn là con người, không phải bot.
Tuy nhiên, theo ông Zakir Hussain Rangwala, Giám đốc điều hành BD Software Distribution Pvt Ltd (chuyên cung cấp các giải pháp an ninh mạng), tội phạm mạng đã lợi dụng thói quen chủ quan của người dùng để phát tán phần mềm độc hại thông qua CAPTCHA giả.
Những bài kiểm tra này thường xuất hiện trên các trang web bị xâm nhập, quảng cáo độc hại, email lừa đảo hoặc tên miền nhái của các trang uy tín.
Chiêu thức tấn công tinh vi
Báo cáo của Bộ phận Nghiên cứu Mối đe dọa và Phân tích Thông tin (TRIAD) thuộc CloudSEK cho thấy, một chiến dịch tấn công đang lợi dụng CAPTCHA giả để phát tán phần mềm Lumma Stealer (chuyên đánh cắp dữ liệu trên Windows).
Kẻ tấn công tạo ra trang web giả mạo Google CAPTCHA, lưu trữ trên nhiều máy chủ và tận dụng Mạng phân phối nội dung (CDN) để tăng tính hợp pháp.
Khi truy cập, người dùng sẽ được hướng dẫn mở hộp thoại Run (Win+R), dán một lệnh PowerShell được mã hóa base64 và nhấn Enter. Lệnh này tải Lumma Stealer từ máy chủ của hacker về máy nạn nhân.
Theo nhà nghiên cứu Anshuman Das (CloudSEK), việc nhấp vào CAPTCHA giả chưa gây hại ngay, nhưng làm theo các hướng dẫn đi kèm như tải tệp hoặc dán lệnh mới là nguyên nhân dẫn tới nguy cơ nghiêm trọng.
Cách phân biệt CAPTCHA thật và giả
Chuyên gia Deependra Singh (Betul Police, MP) chỉ ra:
CAPTCHA thật nằm trên các trang web uy tín, yêu cầu thao tác đơn giản như chọn hình ảnh hoặc nhập ký tự.
Còn CAPTCHA giả thường đòi hỏi hành động bất thường như cho phép thông báo, tải tệp, nhập thông tin cá nhân hoặc tài chính.
Ngoài ra, khi người dùng được yêu cầu cần kiểm tra URL để phát hiện lỗi chính tả, ký tự lạ hoặc tên miền đáng ngờ. CAPTCHA xuất hiện dưới dạng pop-up độc lập thay vì tích hợp sẵn trong trang web cũng là dấu hiệu cảnh báo.
Việc cần làm ngay nếu nghi ngờ đã gặp CAPTCHA giả:
- Thoát ngay khỏi trang web.
- Ngắt kết nối internet.
- Chạy quét virus toàn diện.
- Xóa bộ nhớ đệm, cookie, tiện ích mở rộng lạ.
- Đổi mật khẩu các tài khoản quan trọng.
- Xóa mọi tệp vừa tải xuống mà chưa mở.
Ông Zakir Hussain Rangwala cảnh báo, các lĩnh vực như thương mại điện tử, game trực tuyến dễ trở thành mục tiêu của CAPTCHA giả vì liên quan đến nhiều dữ liệu nhạy cảm.
Người dùng không nên nhấp vào liên kết không rõ nguồn gốc và luôn kiểm tra địa chỉ URL. Bởi, một cú nhấp sai có thể trả giá bằng cả tiền bạc lẫn quyền riêng tư.