מתקפות סייבר
ESET באזהרה על האיום החדש ברשת: עמודי CAPTCHA מזויפים שנועדו לעקוץ משתמשים
מומחי אבטחת מידע בחברת ESET מזהירים מפני עלייה בשימוש בעמודי אימות אנושיים (CAPTCHA) מזויפים, אשר משמשים כדרך חדשה וקלה להפצת תוכנות זדוניות. בעוד שמנגנוני האבטחה האלו נועדו למנוע פעילות אוטומטית של בוטים, התחזות אליהם הפכה בשנים האחרונות לכלי יעיל במיוחד בידי גורמים זדוניים.
כיום, למעלה ממחצית מתעבורת האינטרנט מופקת על ידי בוטים, כאשר חלקם, כמו סורקי האתרים של Google, משמשים למטרות לגיטימיות. עם זאת, כמעט שתי חמישיות מהבוטים מוגדרים כזדוניים ומנוצלים לפרסום תכנים מסיתים, לביצוע מתקפות מניעת שירות מפוזרות (DDoS) ולהשתלטות על חשבונות מקוונים באמצעות סיסמאות שנפרצו בעבר. במקרים מסוימים, אתגר ה-CAPTCHA עצמו הוא זיוף מתוחכם העלול לשמש כפלטפורמה להדבקת מערכות.
דוגמה בולטת לכך היא טכניקת ההנדסה החברתית ClickFix, המפיצה באמצעות תמונות CAPTCHA מזויפות איומים מגוונים, ובהם דפים גונבי מידע, תוכנות כופרה, סוסים טרויאנים לגישה מרחוק ואף נוזקות הנראות כמו מסרים או הודעות מגופים ציבוריים ומדיניים.
בפועל, מתקפת CAPTCHA מזויפת יכולה להופיע כעמוד שנראה כמעט זהה לעמוד האימות האמיתי של שירות מוכר, אך במקום לבקש זיהוי תמונות (רמזורים או אוטובוס צהוב למשל) או הקלדת טקסט מטושטש, תופיע דרישה ללחוץ על קישור, להריץ פקודת מערכת או להוריד קובץ EXE או אחר. לעיתים, גם פעולות פשוטות לכאורה, כמו לחיצה לאימות אנושי – מפעילות ברקע סקריפט זדוני שמוריד נוזקה משרת חיצוני אל המחשב. ההבדלים בין עמוד מזויף לאמיתי עדינים מאוד, ולעיתים מתגלים רק בפרטים קטנים כמו כתובת האתר, איכות הגרפיקה או ניסוח ההוראות.
אלכס שטיינברג, מנהל מוצר ESET בחברת קומסקיור, מציין כי "עמודי CAPTCHA מזויפים הפכו בשנים האחרונות לשיטה מועדפת על תוקפים בשל המראה האמין שלהם והסתמכות המשתמשים על תהליך האימות המקוון. העלאת המודעות והקפדה על אמצעי זהירות הם כלים מרכזיים בהתמודדות עם האיום, כולל בדיקת ה-URL המלא של האתר ושל הדף".
על פי דוח האיומים של ESET למחצית הראשונה של 2025, חלק מהתקיפות כוללות עמודי CAPTCHA מזויפים שנראים לגיטימיים, אך בפועל מבקשים מהמשתמשים לבצע פעולות חריגות כגון פתיחת חלון פקודות והדבקת פקודות שהועתקו בסתר. פקודות אלו מפעילות כלים מובנים של Windows להורדת נוזקות נוספות מהאינטרנט.
היקף הפגיעה רחב, ובשנת 2024 בלבד זוהו עשרות מיליוני נפגעים מגונבי מידע, כאשר אחד הזנים הבולטים, Lumma Stealer, הצליח להדביק עשרות מיליוני מכשירים לפני שמבצע בינלאומי הביא לשיבוש פעילותו.
בנוסף לנזק הישיר למערכות, מתקפות מסוג זה יוצרות אפקט מתמשך על הארגון או המשתמש שנפגע. גניבת פרטי גישה עלולה להוביל לפריצה לחשבונות נוספים, וארגונים עלולים למצוא את עצמם מתמודדים עם דליפת מידע רגיש, פגיעה במוניטין, עלויות התאוששות גבוהות ואובדן אמון מצד לקוחות. נוזקות מתקדמות מסוגלות אף להישאר רדומות במערכות לזמן ממושך והתוקף יכול להפעיל אותן במועד מאוחר יותר, מה שהופך את גילוין למאתגר במיוחד.
"ההמלצות המקצועיות כוללות הקפדה על עדכון מערכות ההפעלה והדפדפנים, שימוש בתוכנות אבטחה ממקור אמין ובטוח, הימנעות מהורדת תוכנות לא חוקיות ובחינת זהותם ואמינותם של עמודי אימות המופיעים באופן בלתי צפוי או בלתי קשור לגלישה באינטרנט. במקרה של חשד להדבקה, יש לנתק את המכשיר מהרשת, לבצע סריקת אבטחה מקיפה, לשנות סיסמאות ולהפעיל אימות דו-שלבי", מוסיף שטיינברג.