詐欺師はインターネットで最も信頼されているセキュリティ機能の1つを武器化した。Identity Theft Resource Centerによって報告された増え続ける偽CAPTCHAスキームは、ユーザーにStealCマルウェアをインストールするように誘導するが、そのコマンドを正当な認証プロンプトとして偽装している。

この攻撃はダウンロード警告、ポップアップブロッカー、従来のフィッシングの赤旗を回避し、キーボード入力以外は何も要求しません.

偽のCAPTCHA詐欺はどうやって動作するのでしょうか.

通常の見た目のウェブサイトにはCAPTCHAのボックスが表示され、銀行ページやログイン画面で毎日ユーザーが見るようなものです。しかし、画像や数字をタップするのではなく、メッセージにはWindowsキー＋Rを押し、その後Ctrl＋Vを押し、Enterキーを押すように指示されます。これらの4つのキーストロークがハッキングにつながります。 

そのシーケンスは隠されたRun対話ボックスを開き、クリップボードに待機していた悪意のあるスクリプトを開始します。ユーザーは基本的にそれのインストールを行い、実質的には気づかずに、大きなダウンロードボタンも、明らかなポップアップ警告も見当たりません。

StealC は静かに、どこか背景で動作し、多くの問題の兆候なく価値ある情報を収集します。セキュリティ研究者は、それが保存されたパスワード、ブラウザのサインインセッション、オートフィル情報、さらには暗号通貨ウォレットの詳細を盗むことができると指摘しています。

多くの被害者はすぐに気づきません；攻撃者がアカウントを使用し始めたとき、感染後数週間経つまで、何も起きていないかのように後から気づきます。

CAPTCHAのプロンプトは安全だと感じるのは、それが本物のサービスを守っているからだ。この攻撃はまた、通常の警告のヒント、例えば怪しいダウンロードがない、奇妙なポップアップがない、目立つ詐欺の話がないなどを消す傾向がある。代わりに、技術的な何かのトラブルシューティングに見える、直接的で合理的な指示を与える。

本物のCAPTCHAはコマンドウィンドウを開いたり、キーボードショートカットを使ったり、コマンドを貼り付けるように要求しません。それらの指示に気づいたら、すぐにページを閉じます.

本物のCAPTCHA詐欺から身を守る方法は？

本物のCAPTCHA詐欺から身を守るための簡単な手順ガイドをご紹介します.

1. 未知のCAPTCHAのプロンプトで「許可」をクリックしないでください
2. 奇妙なコマンドのコピーとペーストを避ける
3. ウェブサイトのURLを慎重に確認する
4. ブラウザとセキュリティソフトを更新する
5. 何か怪しいと感じたらタブを閉じる