"אני לא רובוט": השיטה החדשה להשתלט לנו על המחשב

כולנו בדרך כלל לוחצים על תיבת הסימון "אני לא רובוט" בלי לחשוב יותר מדי, אבל מה קורה כאשר הבדיקה הפשוטה מנסה לפרוץ לנו למחשב?

בדיקת ה-CAPTCHA, (ראשי תיבות של Completely Automated Public Turing test to tell Computers and Humans Apart) היא מנגנון אבטחה שנועד להבחין בין משתמשים אנושיים לבין בוטים או תוכנות אוטומטיות. מדובר בבחינה פשוטה יחסית לבני אדם, אך קשה לביצוע על ידי מחשבים, וכוללת פעולות כמו זיהוי תווים מעוותים בתמונה (למשל אותיות ומספרים מעורבבים), לחיצה על תיבות סימון בסגנון "אני לא רובוט", בחירה בתמונות שמתארות פריטים מסוימים (מכוניות, רמזורים) ועוד. מטרתה הוא מניעת שליחת ספאם בטפסים מקוונים, אבטחה על אתרים מפני ניסיונות פריצה אוטומטיים, אבטחת הרשמה לאתרים או הצבעות מקוונות ועוד.

כעת, מערך הסייבר הלאומי מזהיר את הציבור מפני שיטת תקיפה מתוחכמת חדשה המתחזה לבדיקת CAPTCHA, ומבוססת על הנדסה חברתית, טכניקת תקיפה במסגרתה האקרים מטעים את המשתמשים לבצע פעולה מזיקה בעצמם.

במתקפות מסוג זה, האקרים פורצים לאתרים באמצעות פרטי גישה גנובים ומתקינים תוספים מזויפים שמביאים לכך שבדיקת CAPTCHA תוצג כלא תקינה. במקרים אלו, יתבקשו המשתמשים לבצע פעולות כגון פתיחת חלון "הפעלה", הדבקת קוד, שלמעשה הוא קוד זדוני, לתוך החלון ולחיצה על "אנטר" לצורך הרצת הפקודה. התוכנה המותקנת יכולה להכיל כל סוג של נוזקה לכל סוג של מטרה כגון להשתלט על המחשב, לגנוב מידע אישי או פיננסי, להשיג גישה למידע רגיש, להתקין כופרה שנועלת את המחשב ועוד.

האפקטיביות של השיטה תלויה בפופולריות ובאמינות האתר בו הושתל הקוד הזדוני. בשיטה זו ניתן לעקוף את מנגנוני האבטחה של דפדפנים, כמו Google Safe Browsing, ובכך להפחית את החשד של המשתמש. לא מדובר בהכרח באתרים מפוקפקים, אלא פשוט באתרים שהם פחות מאובטחים וכך מצליחים הנוכלים לפרוץ אליהם.

גם מומחי אבטחת מידע בחברת ESET מזהירים מפני עלייה בשימוש בעמודי אימות אנושיים (CAPTCHA) מזויפים, אשר משמשים כדרך חדשה וקלה להפצת תוכנות זדוניות. בעוד שמנגנוני האבטחה האלו נועדו למנוע פעילות אוטומטית של בוטים, התחזות אליהם הפכה בשנים האחרונות לכלי יעיל במיוחד בידי גורמים זדוניים.

כיום, למעלה ממחצית מתעבורת האינטרנט מופקת על ידי בוטים, כאשר חלקם, כמו סורקי האתרים של גוגל, משמשים למטרות לגיטימיות. עם זאת, כמעט שתי חמישיות מהבוטים מוגדרים כזדוניים ומנוצלים לפרסום תכנים מסיתים, לביצוע מתקפות מניעת שירות מפוזרות (DDoS) ולהשתלטות על חשבונות מקוונים באמצעות סיסמאות שנפרצו בעבר. במקרים מסוימים, אתגר ה-CAPTCHA עצמו הוא זיוף מתוחכם העלול לשמש כפלטפורמה להדבקת מערכות.
דוגמה בולטת לכך היא טכניקת ההנדסה החברתית ClickFix, המפיצה באמצעות תמונות CAPTCHA מזויפות איומים מגוונים, ובהם דפים גונבי מידע, תוכנות כופרה, סוסים טרויאנים לגישה מרחוק ואף נוזקות הנראות כמו מסרים או הודעות מגופים ציבוריים ומדיניים.

המלצות מערך הסייבר הלאומי לזיהוי ולהגנה:

1. בדיקת כתובת האתר: מומלץ לוודא שהכתובת לגיטימית וללא שגיאות איות או דומיינים חשודים. חפשו אחר ה-"https" המצביע על אתר מאובטח.
2. היזהרו בגלישה לאתרים לא מוכרים: מומלץ לא לבצע אינטראקציה עם CAPTCHA באתרים שמעולם לא ביקרתם בהם או שאינם נחשבים מהימנים.
3. הימנעות מהורדות: בדיקת CAPTCHA לגיטימית לא תבקש להוריד תוכנה או הרחבות לדפדפן לעולם.
4. אל תבצעו פקודות: היזהרו מהוראות הכוללות פתיחת תיבת הדו-שיח "הפעלה" (מקש Windows + R), הדבקת טקסט או לחיצה על Enter.
5. זהירות משלבי אימות נוספים: אם בדיקת CAPTCHA מבקשת ביצוע שלבים נוספים מעבר לאימות פשוטה – עצרו.
6. עדכוני תוכנה: עדכנו באופן קבוע את התוכנה ואת מערכת ההפעלה כדי לתקן כל פרצות אבטחה שתוכנה זדונית עשויה לנצל.
7.  השתמשו בחומת אש: חומת אש יכולה לסייע במניעת הורדה או ביצוע של קוד זדוני במכשיר שלכם.
8.  היזהרו מהודעות: דוא"ל והודעות המכילות קישורים לאתגרי CAPTCHA או בקשות לאימות החשבון שלכם.