騙子們已經將互聯網最信任的安全功能之一武器化。一種日益增長的偽造 CAPTCHA 方案，被身份盜竊資源中心標記，透過將命令偽裝為正當的驗證提示，騙取用戶安裝 StealC 惡意軟件。

此攻擊繞過下載警告、彈窗阻擋器以及傳統的釣魚紅旗，只需要鍵盤輸入即可.

偽裝的 CAPTCHA 釣魚詐騙是如何運作的？

一個看似正常的網站顯示一個 CAPTCHA 方塊，用戶每天在銀行頁面和登錄屏幕上看到的類型。但不是點擊圖片或數字，訊息告訴他們要按下 Windows + R，然後 Ctrl + V，然後 Enter；這四個鍵盤輸入會導致駭擊。 

那個序列會打開隱藏的 Run 對話方塊，並啟動一個已等候在剪貼簿上的惡意腳本。基本上是使用者為它進行安裝，有點沒有意識到，而且沒有明顯的下載按鈕，也看不到明顯的彈出警告。

StealC 會在背景安靜地運行，悄悄收集有價值的資訊，而沒有明顯的跡象表示有問題。安全研究者指出它能竊取保存的密碼、瀏覽器登錄會話、自動填寫資訊，甚至加密貨幣錢包的細節。

很多受害者並沒有立刻察覺；他們只有在賬戶開始被攻擊者使用時才意識到，有時甚至在感染後幾週才發現，彷彿什麼都沒發生過一樣。

驗證碼提示讓人覺得安全，因為它們保護了合法服務。這次攻擊也傾向於消除通常的警告信號，例如沒有可疑下載、沒有奇怪的彈窗，以及沒有明顯的詐騙言論。相反，它提供直接、理性的指示，聽起來像是一些技術問題的正常排除故障。

一個真正的 CAPTCHA 不會要求你打開命令視窗、使用鍵盤快捷鍵，或貼上任何指令。如果你注意到這些指示，請立即關閉頁面。

如何避免偽 CAPTCHA 欺騙？

這是一份簡短的逐步指南，將幫助你避免偽 CAPTCHA 欺騙

1. 切勿點擊陌生 CAPTCHA 提示的「允許」
2. 避免複製貼上奇怪的指令
3. 仔細檢查網站URL
4. 保持瀏覽器和安全軟體更新
5. 如果感覺到任何可疑情況請關閉分頁