این همان CAPTCHA است که هرگز نباید تکمیل کنید

CAPTCHAها بخشی عادی از زندگی آنلاین هستند که ما بدون فکر کردن آن‌ها را تکمیل می‌کنیم. و در حالی که کلیک کردن روی تصاویر مطابقت‌دار یا وارد کردن متن کج هیچ مخربی ندارد، نمی‌توانید به هر CAPTCHA‌ای که می‌بینید اعتماد کنید.

کپچاها بخش طبیعی و روزمره‌ای از زندگی آنلاین هستند به‌طوری که بدون فکر آن‌ها را تکمیل می‌کنیم. و اگرچه کلیک کردن روی تصاویر مطابقت‌دار یا وارد کردن متنِ کجیده کاری مخرب نیست، اما نمی‌توانید به هر کپچایی که می‌بینید اعتماد کنید.

به‌اخیراً ایمیلی دریافت کردم که پر از هشدارهای قرمز بود؛ وقتی تصمیم گرفتم به آن بپردازم تا در موردش بنویسم، شک‌هایم را تأیید کردم. پیش‌تر در مورد این کپچاهای خطرناک شنیده بودم، اما این اولین باری بود که یکی را در دنیای واقعی دیدم.

The phony email I received

به‌تازگی پیغامی کوتاه در صندوق ایمیل کاری‌ام دریافت کردم که به من اطلاع داد شخصی به‌نظر می‌رسد مقاله‌ای درباره من در یک سایت خبری منتشر کرده است که شامل اطلاعات تماس من بود.

سه نکته بلافاصله باعث شد فکر کنم این مخرب است. اولاً، قالب مشابه social media message scams قدیمی است، جایی که حساب‌های هک‌شده پیامی مانند «آیا این ویدئوی دیوانه‌وار را که از تو ضبط کرده‌اند دیدی؟» به همراه یک لینک مخرب ارسال می‌کردند. دوم اینکه، نام روی ایمیل با آدرسی که از آن ارسال شده تطابق ندارد. دامنه ایمیل .cl است که برای شیلی می‌باشد. این وب‌سایت در واقع یک شرکت حقیقی است، اما منطقی نیست که شخصی از یک شرکت کترینگ شیلی برای این موضوع با شما تماس بگیرد. سوم اینکه، نام وب‌سایت عمداً قبل از «.com» یک فاصله دارد—احتمالاً برای جلوگیری از تشخیص تقلب این کار انجام شده است. اگر URL را به صورت پیوند قرار می‌دادند، احتمالاً جیمیل آن را بررسی می‌کرد، مخرب بودنش را می‌دید و فیلتر می‌کرد.

Checking the domain

اگرچه مایلم با این ایمیل که مشکوک بود درگیر نمی‌شدم، تصمیم گرفتم ببینم این طرح چه چیزی است تا بتوانم آگاهی ایجاد کنم. در گوگل یک جستجوی site: برای دامنه انجام دادم که سایت را نشان داد اما محتوای خاصی نداشت (حتی با افزودن واژه‌های مختلف).

من fired up a virtual machine sandbox برای بررسی وب‌سایت راه‌اندازی کردم؛ در همین حین، URL را در Wayback Machine نگاه کردم تا ببینم چگونه به نظر می‌رسد. تعجب کردم که سایت عکس‌های ذخیره‌شده‌ای از سال‌ها دارد، چون این سایت‌های تقلبی معمولاً به‌سرعت ظاهر می‌شوند و ناپدید می‌گردند.

بسته به تاریخی که بررسی می‌کردم، ظاهر وب‌سایت متفاوت بود. گاهی به صفحه «دامنه پارک‌شده» برای URLهای دیگر هدایت می‌شد. گاهی دیگر شبیه یک وب‌سایت خبری واقعی به نظر می‌رسید، هرچند با نگاه دقیق‌تر متوجه شدم محتوای ارائه‌شده کیفیت پایینی دارد.

آخرین نسخه (فوریه ۲۰۲۵) دارای لوگوهای تاریک سایر منابع خبری بود؛ نسخه دیگری نوار بالای صفحه داشت که «درباره ما» را همراه با اخبار برتر و «شعرهای درباره زندگی» نمایش می‌داد. کیفیت کلی سایت ضعیف بود، صرف‌نظر از ظاهر آن. تمام نسخه‌های قبلی به‌جز آخرین snapshot، تم رنگی مشابهی داشتند، بنابراین احتمال می‌رود سایت در اوایل امسال مورد نفوذ قرار گرفته باشد.

حدس من این است که این یک وب‌سایت با کیفیت پایین و بی‌ارزش است که به‌تازگی هک شده و برای میزبانی این حمله استفاده شده. همچنین ممکن است سایت از ابتدا خطرناک بوده و به‌طور مداوم ظاهر خود را تغییر داده باشد تا برای خزنده‌های وب معتبر به نظر برسد، اما این احتمال کمتر به نظر می‌رسد.

The phony CAPTCHA attack

شما فرصتی ندارید که نگران تغییرات بصری وب‌سایت باشید اگر URL را مستقیماً باز کنید. در عوض، با یک کپچای ادعایی از Cloudflare مواجه می‌شوید که از شما می‌خواهد قبل از دسترسی به سایت، تأیید کنید انسان هستید.

سایت‌های معتبر از ابزارهای Cloudflare برای check if you’re a person، به‌ویژه هنگام استفاده از VPN، استفاده می‌کنند، اما این کارها به‌طور خودکار انجام می‌شود. اگر دقت نکنید، این کپچا واقعی به‌نظر می‌رسد. اما تفاوت در کاری است که از شما درخواست می‌شود.

پس از کلیک بر دکمه «من ربات نیستم»، یک پنجره پاپ‑آپ ظاهر می‌شود که از شما می‌خواهد Command Prompt را باز کنید، کلید ترکیبی Ctrl + V را برای چسباندن فشار دهید، سپس روی «تأیید» کلیک کنید تا «تمام شود».

هنگامی که اولین بار روی درخواست کلیک می‌کنید، سایت دستور مخربی را در کلیپ‌بورد شما قرار می‌دهد. اگر دستور را اجرا کنید، بدافزار دانلود شده و روی سیستم شما اجرا می‌شود.

در آن زمان، آسیب انجام شده است؛ سایت دیگر اهمیت ندارد. بیشتر بدافزارهای نصب‌شده به این روش پسوردهای مرورگر شما، ارزهای دیجیتال در سیستم شما و سایر اطلاعات حساس را می‌دزدند.

A dangerous attack

امیدواریم که مشاهده این موضوع زنگ خطر را به صدا درآورد و بلافاصله پنجره را ببندید. هیچ سایت معتبری هرگز از شما نمی‌خواهد برای تأیید اینکه ربات نیستید، دستوری را روی رایانه‌تان اجرا کنید. روش‌های دیگر برای این کار وجود دارد که خطری برای سیستم شما ندارند.

دستور را در Notepad چسباندم تا ببینم چه محتوایی دارد. با این حمله آشنایی داشتم و می‌دانم برخی نسخه‌ها از شما می‌خواهند متنی را در گفت‌وگوی Run وارد کنید. آن‌ها متنی بی‌ضرر مانند «I am not a robot | Verification Hash 1234» نمایش می‌دهند، اما دستور را در میان حروف بی‌معنی پنهان می‌کنند.

این نسخه نیز مشابه بود—از مجموعه‌ای از متغیرها و متن‌های دیگر برای پنهان‌کردن هدف واقعی‌اش استفاده می‌کند.

Staying safe from these schemes

یک جست‌وجوی WHOIS برای دامنه انجام دادم و به GoDaddy که به‌عنوان واسطه ثبت‌کننده بود گزارش دادم. پس از مدت کوتاهی، وب‌سایت هنگام بازدید خطا داد؛ به‌نظر می‌رسد گزارش من منجر به اقدام سریع شد.

همچنین به ایمیل تماس شرکت شیلی که دامنه‌اش در ایمیل اولیه استفاده شده بود پیام ارسال کردم. احتمالاً این ایمیل جعل شده بود، اما می‌خواستم به آن‌ها اطلاع دهم تا در صورت دریافت ایمیل مشابه یا نفوذ به حساب یکی از کارمندانشان اقدام کنند.

درس‌های این ماجرا مشابه سایر advice for avoiding phishing emails و بدافزارها است. باید هر پیام غیرمنتظره‌ای را خطرناک در نظر بگیرید؛ بسیاری از حملات مدرن شما را وادار می‌کنند کاری انجام دهید که محافظت‌های دستگاه شما را دور بزنند.

هرگز دستوری را روی رایانه‌تان اجرا نکنید اگر مطمئن نیستید چه کاری انجام می‌دهد. اجرای یک دستور عیب‌یابی در مقاله‌ای از یک وب‌سایت معتبر ممکن است قابل قبول باشد، اما باید فرض کنید دستورات تصادفی از سایت‌های ناشناس برای آسیب‌رسانی به شما طراحی شده‌اند.

در این مورد، نشانه واضحی از نگارش یا املا ضعیف وجود نداشت. این یادآور مهمی است که هشیار بمانید و بدون فکر عمل نکنید.

منبع مقاله