כולנו בדרך כלל לוחצים על תיבת הסימון "אני לא רובוט" בלי לחשוב יותר מדי, אבל מה קורה כאשר הבדיקה הפשוטה מנסה לפרוץ לנו למחשב?

בדיקת ה-CAPTCHA, (ראשי תיבות של Completely Automated Public Turing test to tell Computers and Humans Apart) היא מנגנון אבטחה שנועד להבחין בין משתמשים אנושיים לבין בוטים או תוכנות אוטומטיות. מדובר בבחינה פשוטה יחסית לבני אדם, אך קשה לביצוע על ידי מחשבים, וכוללת פעולות כמו זיהוי תווים מעוותים בתמונה (למשל אותיות ומספרים מעורבבים), לחיצה על תיבות סימון בסגנון "אני לא רובוט", בחירה בתמונות שמתארות פריטים מסוימים (מכוניות, רמזורים) ועוד. מטרתה הוא מניעת שליחת ספאם בטפסים מקוונים, אבטחה על אתרים מפני ניסיונות פריצה אוטומטיים, אבטחת הרשמה לאתרים או הצבעות מקוונות ועוד.

כעת, מערך הסייבר הלאומי מזהיר את הציבור מפני שיטת תקיפה מתוחכמת חדשה המתחזה לבדיקת CAPTCHA, ומבוססת על הנדסה חברתית, טכניקת תקיפה במסגרתה האקרים מטעים את המשתמשים לבצע פעולה מזיקה בעצמם.

במתקפות מסוג זה, האקרים פורצים לאתרים באמצעות פרטי גישה גנובים ומתקינים תוספים מזויפים שמביאים לכך שבדיקת CAPTCHA תוצג כלא תקינה. במקרים אלו, יתבקשו המשתמשים לבצע פעולות כגון פתיחת חלון "הפעלה", הדבקת קוד, שלמעשה הוא קוד זדוני, לתוך החלון ולחיצה על "אנטר" לצורך הרצת הפקודה. התוכנה המותקנת יכולה להכיל כל סוג של נוזקה לכל סוג של מטרה כגון להשתלט על המחשב, לגנוב מידע אישי או פיננסי, להשיג גישה למידע רגיש, להתקין כופרה שנועלת את המחשב ועוד.

 

האפקטיביות של השיטה תלויה בפופולריות ובאמינות האתר בו הושתל הקוד הזדוני. בשיטה זו ניתן לעקוף את מנגנוני האבטחה של דפדפנים, כמו Google Safe Browsing, ובכך להפחית את החשד של המשתמש. לא מדובר בהכרח באתרים מפוקפקים, אלא פשוט באתרים שהם פחות מאובטחים וכך מצליחים הנוכלים לפרוץ אליהם.

המלצות מערך הסייבר הלאומי לזיהוי ולהגנה:

  1. בדיקת כתובת האתר: מומלץ לוודא שהכתובת לגיטימית וללא שגיאות איות או דומיינים חשודים. חפשו אחר ה-"https" המצביע על אתר מאובטח.
  2. היזהרו בגלישה לאתרים לא מוכרים: מומלץ לא לבצע אינטראקציה עם CAPTCHA באתרים שמעולם לא ביקרתם בהם או שאינם נחשבים מהימנים.
  3. הימנעות מהורדות: בדיקת CAPTCHA לגיטימית לא תבקש להוריד תוכנה או הרחבות לדפדפן לעולם.
  4. אל תבצעו פקודות: היזהרו מהוראות הכוללות פתיחת תיבת הדו-שיח "הפעלה" (מקש Windows + R), הדבקת טקסט או לחיצה על Enter.
  5. זהירות משלבי אימות נוספים: אם בדיקת CAPTCHA מבקשת ביצוע שלבים נוספים מעבר לאימות פשוטה – עצרו.
  6. עדכוני תוכנה: עדכנו באופן קבוע את התוכנה ואת מערכת ההפעלה כדי לתקן כל פרצות אבטחה שתוכנה זדונית עשויה לנצל.
  7.  השתמשו בחומת אש: חומת אש יכולה לסייע במניעת הורדה או ביצוע של קוד זדוני במכשיר שלכם.
  8.  היזהרו מהודעות: דוא"ל והודעות המכילות קישורים לאתגרי CAPTCHA או בקשות לאימות החשבון שלכם.