Вы заходите на знакомый сайт. Появляется окно с галочкой: «Подтвердите, что вы не робот». Вы жмёте. Ничего не происходит. Вы закрываете вкладку и забываете об этом.
А через несколько часов с вашего телефона уходят деньги, начинают поступать звонки от банка, а незнакомые сайты запрашивают ваши данные. Именно так работает новая мошенническая схема, о которой предупредил пресейл-инженер компании Спикател Денис Ушаков. Она уже активно применяется в России, и большинство людей даже не подозревают, что стали жертвой.
Что именно происходит: разбираем схему по шагам
Мошенники не создают новые фиктивные сайты с нуля. Это старая тактика, и пользователи научились её распознавать. Теперь злоумышленники действуют хитрее: они взламывают уже существующие, давно работающие ресурсы.
Вы могли заходить на этот сайт годами. Там публикуют новости вашего города, рецепты, советы по огороду. Вы ему доверяете. Именно поэтому вы не ждёте подвоха.
После взлома сайт начинает показывать посетителям страницу с капчей. Визуально она практически неотличима от проверки Cloudflare или Google reCAPTCHA, которые вы видели сотни раз: серый фон, знакомый логотип, галочка «я не робот».
Вы нажимаете подтвердить. В этот момент в буфер обмена вашего устройства автоматически копируется скрытая команда. Вы её не видите. Затем страница предлагает «для завершения проверки» открыть системное окно Windows и вставить текст из буфера.
Именно здесь ловушка захлопывается. Вы нажимаете Enter, и на устройстве автоматически запускается вредоносный скрипт.
Почему это работает: психология обмана
Большинство из нас уже давно привыкли к капчам. Они появляются везде: при входе в почту, на Госуслугах, при покупке билетов. Это стало рефлексом: увидел галочку, кликнул, пошёл дальше.
Именно на этот рефлекс и рассчитывают мошенники. Они не уговаривают вас переводить деньги незнакомцу. Они не просят назвать код из СМС. Они просто встраиваются в привычное действие, которое вы совершаете на автопилоте.
Денис Ушаков особо подчёркивает: настоящая капча никогда не требует запускать какие-либо скрипты или команды на вашем устройстве. Если после нажатия галочки сайт предлагает что-то вставить в командную строку или открыть системное окно, это однозначный признак атаки.
Запомните одно правило. Настоящая проверка «я не робот» заканчивается в браузере. Она никогда не просит вас открывать программы, запускать команды или вставлять текст в системные окна. Если это происходит, закройте вкладку немедленно.
Что делает вредоносная программа после запуска
После того как скрипт запущен, он начинает работу незаметно для пользователя. В зависимости от конкретного варианта вредоноса последствия могут быть разными, но чаще всего атакующие преследуют несколько целей одновременно.
Первое, что ищет большинство таких программ: сохранённые пароли в браузере. Chrome, Яндекс.Браузер, Opera хранят логины и пароли локально на устройстве. Скрипт умеет их читать и отправлять злоумышленникам.
Следующая цель: куки сессий. Это небольшие файлы, которые позволяют оставаться залогиненным на сайтах. Получив их, мошенник может зайти в ваш аккаунт без знания пароля, и никакой двухфакторной авторизации не потребуется.
Также под угрозой оказываются данные банковских карт, если они сохранены в браузере, и доступ к мессенджерам, которые установлены на том же компьютере.
Важный момент: на смартфонах с Android схема работает иначе. Там запустить системную команду через браузер значительно сложнее, поэтому мобильные версии взломанных сайтов чаще перенаправляют на скачивание «обновления браузера» или «приложения для проверки». Это тоже мошенничество.
Как понять, что сайт взломан
Это сложный вопрос, потому что внешне взломанный сайт выглядит нормально. Статьи на месте, дизайн не изменился, только при заходе появляется это злополучное окно.
Несколько признаков, которые должны насторожить.
Капча появляется сразу при входе на сайт, ещё до того, как вы попытались что-то сделать. На обычных ресурсах проверка возникает при конкретных действиях: регистрации, отправке формы, нескольких быстрых запросах. Если она встречает вас с порога, это странно.
После нажатия галочки страница просит совершить дополнительные действия вне браузера. Как уже говорилось, это главный красный флаг.
Адресная строка показывает правильный URL, но что-то кажется чуть другим: другой шрифт, немного иное расположение элементов, непривычный серый фон на весь экран.
Если возникло хоть малейшее сомнение, не нажимайте ничего. Закройте вкладку, подождите несколько дней и зайдите снова.
Параллельная угроза: звонки от имени налоговой
Пока одни мошенники работают через взломанные сайты, другие не оставляют телефонный обман. Эксперты компании Angara Security предупреждают о новой волне звонков: злоумышленники представляются сотрудниками центрального аппарата Федеральной налоговой службы.
Схема выглядит убедительно. Звонящий называет ваше имя, отчество, иногда ИНН. Говорит, что идёт проверка счетов, обнаружены нарушения, и для их устранения нужно срочно перевести деньги на «защищённый счёт». Иначе, мол, счёт будет заблокирован.
ФНС никогда не требует денег по телефону. Если поступил такой звонок, положите трубку. При желании перезвоните в налоговую самостоятельно по номеру с официального сайта nalog.ru.
Мы в MAX-канале Pochinka регулярно разбираем свежие схемы мошенников раньше, чем они становятся массовыми, и публикуем конкретные инструкции: что делать, если уже попались, и как защититься заранее. Подписывайтесь, чтобы не пропустить.
Пять конкретных шагов, которые защитят вас прямо сейчас
Не стоит читать об угрозе и ничего не делать. Вот что можно сделать сегодня, за 15 минут, без специальных знаний.
Шаг 1. Уберите сохранённые пароли из браузера. Зайдите в настройки Chrome или Яндекс.Браузера и отключите функцию сохранения паролей. Используйте отдельный менеджер паролей, например KeePass. Это бесплатно и работает офлайн.
Шаг 2. Не сохраняйте данные карты в браузере. Удобно, но опасно. Лучше вводить номер карты каждый раз заново, чем рисковать тем, что его украдут.
Шаг 3. Включите двухфакторную аутентификацию везде, где это возможно. Особенно на Госуслугах, в банковских приложениях и почте. Даже если пароль утечёт, без второго кода войти не получится.
Шаг 4. Обновите операционную систему и браузер. Большинство вредоносных скриптов используют уже известные уязвимости, которые разработчики давно закрыли в обновлениях. Кнопка «напомнить позже» реально опасна.
Шаг 5. Установите блокировщик рекламы. uBlock Origin для браузера бесплатен и блокирует многие вредоносные скрипты на корню, даже если сайт взломан. Это один из самых простых и эффективных инструментов защиты.
Что делать, если вы уже нажали и выполнили команду
Если вы подозреваете, что стали жертвой этой схемы, действовать нужно быстро.
Первым делом отключите компьютер от интернета. Не просто закройте браузер, а отсоедините кабель или отключите Wi-Fi. Это прервёт возможную передачу данных.
Затем с другого устройства, например со смартфона, зайдите во все важные аккаунты и смените пароли. Начните с почты: именно через неё восстанавливают доступ к остальным сервисам. Потом банки, Госуслуги, мессенджеры.
Позвоните в банк и сообщите о возможной компрометации данных. Они могут временно заблокировать онлайн-операции или выпустить новую карту. Это неудобно, но лучше, чем обнаружить пустой счёт.
После этого на скомпрометированном компьютере запустите проверку антивирусом. Если антивируса нет, скачайте бесплатную версию Dr.Web CureIt с официального сайта drweb.ru. Это портативный сканер, который не требует установки.
Главное, что нужно запомнить
Мошенники становятся всё изобретательнее, потому что грубые схемы уже не работают. Люди научились не верить незнакомцам, не называть коды из СМС, не переводить деньги по просьбе «сотрудников банка».
Поэтому атаки становятся тоньше. Они встраиваются в привычные действия: вы просто подтверждаете, что не робот. Вы просто вставляете текст, который просит система. Вы просто нажимаете Enter.
Защита от таких атак начинается не с антивируса, а с привычки останавливаться на секунду и спрашивать себя: «Почему сайт просит меня сделать что-то в системе? Разве это нормально?» Нет. Это не нормально. И это всегда мошенники.
Расскажите об этом тем, кто рядом. Особенно тем, кто меньше разбирается в технике: именно они становятся жертвами первыми.
А вы сталкивались с похожей ситуацией?
Появлялась ли у вас подозрительная капча на знакомых сайтах? Или, может быть, кто-то из знакомых уже попался на эту схему? Расскажите в комментариях: это поможет другим читателям распознать угрозу раньше, чем она их коснётся.