사기꾼들은 인터넷의 가장 신뢰받는 보안 기능 중 하나를 무기화했다. 정체성 도난 자원 센터가 지적한 점을 감안해, 점점 증가하는 가짜 CAPTCHA 시스템은 사용자들이 정당한 검증 제안으로 명령을 위장하여 StealC 바이러스를 설치하도록 속이고 있다.

해킹은 다운로드 경고, 팝업 차단기, 전통적인 피싱 경고를 우회하며, 키보드 입력만 요구합니다.

가짜 CAPTCHA 사기는 어떻게 작동하나요?

일반적인 사이트는 은행 페이지와 로그인 화면에서 매일 사용자가 보는 CAPTCHA 상자를 표시합니다. 하지만 사진이나 숫자를 클릭하는 대신 메시지는 Windows + R을 누르고, 다음에 Ctrl + V를 누르고, Enter를 누르라고 말합니다. 이 네 번의 키 입력은 해킹으로 이어집니다. 

그 시퀀스는 숨겨진 Run 대화 상자를 엽니다하고, 클립보드에 이미 기다리고 있던 악성 스크립트를 시작합니다. 사용자는 기본적으로 설치를 대신하며, 정말 인지하지 못하고 합니다. 큰 다운로드 버튼도 없고, 눈에 띄는 팝업 경고도 보이지 않습니다.

StealC는 조용히 어딘가 배경에서 실행되며, 많은 문제가 없다는 표시 없이 중요한 정보를 수집합니다. 보안 연구자들은 이가 저장된 비밀번호, 브라우저 로그인 세션, 자동 채우기 정보를 빼앗을 수 있으며, 심지어 암호화폐 지갑 세부 정보까지 훔칠 수 있다는 점을 지적합니다.

많은 피해자들이 즉시 감지하지 못합니다; 공격자들이 계정을 사용하기 시작했을 때, 감염 이후 몇 주가 지났을 때, 아무 일도 없었다는 것을 나중에 깨닫습니다.

CAPTCHA 메시지는 정당한 서비스를 보호하기 때문에 안전하게 느껴집니다. 공격은 또한 일반적인 경고 신호를 지우는 경향이 있는데, 예를 들어 의심스러운 다운로드가 없고, 이상한 팝업이 없으며, 눈에 띄는 사기 논조가 없습니다. 대신, 일반적인 기술적인 문제 해결처럼 들리는 직접적이고 합리적인 지침을 제공합니다.

진짜 CAPTCHA는 명령 창을 엽니다, 키보드 단축키를 사용하거나 어떤 명령어도 붙여넣으라고 하지 않습니다. 그 지시를 발견하면 즉시 페이지를 닫으세요.

가짜 CAPTCHA 사기에서 안전을 유지하는 방법은 무엇인가요?

가짜 CAPTCHA 사기로부터 안전을 유지하는 데 도움이 되는 단계별 가이드가 여기 있습니다.

1. 모르는 CAPTCHA 경고에 "허용"을 클릭하지 마세요
2. 이상한 명령어를 복사하거나 붙여넣지 마세요
3. 웹사이트 URL을 주의 깊게 확인하세요
4. 브라우저와 보안 소프트웨어를 업데이트하세요
5. 기묘한 점이 느껴지면 탭을 닫으세요