Новая схема мошенничества с фейковой проверкой на робота

Мошенники начали использовать взломанные легальные сайты для запуска вредоносного кода под видом стандартной проверки «Я не робот». Пользователей заставляют вручную активировать вирус через командную строку Windows, имитируя процесс верификации сервиса Cloudflare.

Инженер компании «Спикател» раскрыл детали новой преступной схемы. Злоумышленники отказались от создания собственных фишинговых страниц в пользу внедрения на уже существующие ресурсы. После взлома сайт начинает показывать посетителям окно с капчей, которое визуально практически неотличимо от интерфейса верификации Cloudflare или аналогичных систем.

Когда человек пытается подтвердить, что он не робот, скрипт автоматически копирует в буфер обмена скрытую вредоносную команду. Подобное визуальное сходство с легитимными инструментами безопасности эффективно усыпляет бдительность пользователей.

Интерфейс поддельной проверки просит жертву открыть системное окно Windows, вставить туда данные из буфера обмена и нажать клавишу Enter. В этот момент пользователь фактически самостоятельно запускает вредоносный скрипт на своём устройстве. Такой метод позволяет преступникам обходить стандартные защитные механизмы современных браузеров.

Большая часть существующих видов капчи не требует запуска каких-либо скриптов на устройстве. Оригинальные сервисы безопасности работают исключительно внутри веб-обозревателя и никогда не запрашивают выполнение команд в терминале или открытие системных окон операционной системы.

Параллельно специалисты Angara Security зафиксировали активность лжесотрудников центрального аппарата Федеральной налоговой службы. Мошенники звонят россиянам и требуют перевести денежные средства под предлогом проведения проверки банковских счетов. Ранее МВД предупредило о новой схеме мошенников с mos.ru.

МВД рекомендует сохранять бдительность при любых запросах персональных данных или требованиях совершить финансовые операции.