Wydano ostrzeżenie do Polaków. Tego absolutnie nie wpisuj na klawiaturze. To nowy sposób oszustów
Oszuści znaleźli nowy sposób, którym wyjątkowo łatwo uśpić czujność internautów. CERT Polska wydał ostrzeżenie, bo mechanizm wygląda nie tylko na legalny, ale i znajomy z wielu serwisów. To sygnał, że cyberprzestępcy nie śpią i umiejętnie grają na naszych przyzwyczajeniach.
CERT wydał ostrzeżenie. Oszuści zastawili nową pułapkę na internautów
Zespół CERT Polska ostrzega przed świeżą techniką oszustów, nadużywaną w kampaniach phishingowych. Komunikat dotyczy nowego trendu, ale równolegle rośnie presja znanych schematów: powracają wiadomości “na dziecko” w komunikatorach, podszycia pod policję oraz maile o rzekomych naruszeniach praw autorskich prowadzące do zainfekowanych plików. W ostatnich miesiącach widzieliśmy też fałszywe mandaty z kodami QR przy parkomatach i ataki podszywające się pod banki, jak kampania celowana w klientów PKO BP. Nowy wariant wykorzystuje motyw weryfikacji użytkownika znany z wielu stron witryn, dlatego łatwo obniża czujność odbiorców.
Skala nie jest symboliczna: w 2024 r. lista ostrzeżeń CERT blokowała 75 mln prób wejścia na podejrzane domeny, a wzorce SMS — oparte na zgłoszeniach obywateli — zatrzymały 1 073 744 wiadomości od oszustów. To tło, na którym najnowsze ostrzeżenie nabiera ciężaru. Według NASK na Listę Ostrzeżeń trafia średnio 265 nowych adresów dziennie, co pokazuje, jak szybko ewoluuje ekosystem fałszywych stron i kampanii przestępczych.
“Udowodnij, że nie jesteś robotem”. Zastanów się dwa razy, zanim odpowiesz
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) jest nieodłącznym elementem codziennego funkcjonowania w sieci, który prawdopodobnie zna każdy. To zestaw testów, które mają odróżnić człowieka od bota: od przepisywania zniekształconych znaków i wyboru obrazków po nowsze mechanizmy behawioralne. Popularne implementacje — jak Google reCAPTCHA — analizują m.in. sposób poruszania myszą, kontekst przeglądarki i inne sygnały ryzyka.
Najnowsza wersja v3 często nie pokazuje użytkownikowi żadnej łamigłówki, bo ocenia interakcje w tle. Również alternatywy, takie jak Turnstile od Cloudflare, starają się ograniczać uciążliwe zagadki, zostawiając wyzwanie tylko w przypadku niskiego poziomu zaufania. W teorii ma to powstrzymywać spam i masowe rejestracje, w praktyce — tworzy nawyk “kliknij i idź dalej”. Ten kompromis między użytecznością a bezpieczeństwem ma skutki uboczne: przyzwyczajeni do automatycznego “odhaczania” ramek, rzadziej analizujemy kontekst i treść komunikatów. Okazuje się jednak, że warto poświęcić kilka dodatkowych sekund na zastanowienie, zanim zaznaczymy “Nie jestem robotem”.
“Oszustwo na CAPTCHA” krok po kroku. Skutki mogą być opłakane
Jak właściwie działa oszustwo “na CAPTCHA”? Fałszywa strona podszywa się pod znajomy panel i podaje kolejną rzekomą fazę weryfikacji. Ofiara widzi instrukcję: skopiuj podsunięty ciąg znaków, naciśnij Windows+R, wklej, zatwierdź przyciskiem Enter.
W teorii, tak samo jak zaznaczenie wszystkich obrazków na których widzimy samochód, takie działanie ma udowodnić, że nie jesteśmy botem, który usiłuje dostać się na stronę. W rzeczywistości jednak takie polecenia otwierają w systemie Windows okno „Uruchom” i zmuszają do startu złośliwego skryptu i malware — w opisanych kampaniach był to m.in. Lumma Stealer wykradający poufne dane logowania.
To socjotechnika w czystej postaci: wzorzec „Nie jestem robotem” wyłącza krytycyzm i maskuje realne ryzyko. Kluczowa zasada obrony brzmi: prawdziwa CAPTCHA nigdy nie każe opuszczać strony ani otwierać systemowych okien. Jeśli widzisz skróty typu Windows+R czy prośbę o wklejenie komendy — przerwij i zgłoś incydent do CERT. Państwowy numer 8080 przyjmuje podejrzane SMS-y, a formularz incydent.cert.pl i adres [email protected] służą do zgłaszania maili oraz stron. Po infekcji przestępcy przechwytują zapisane hasła, pliki cookies i dostęp do poczty, co ułatwia dalsze podszycia, reset haseł, a także kradzież pieniędzy.
