Вы заходите на сайт, появляется привычное окно «Я не робот». Но вместо знакомых картинок с велосипедами и светофорами вас просят нажать странную комбинацию клавиш и «подтвердить проверку». Не делайте этого! За этим скрывается новая изощрённая схема мошенников, о которой предупредил Совет Федерации. Злоумышленники маскируют вредоносное ПО под стандартную CAPTCHA и заставляют пользователей самостоятельно устанавливать вирусы на свои компьютеры. Рассказываем, как работает эта ловушка, какие опасные программы она загружает и как защитить свои данные.
Суть схемы: когда проверка превращается в заражение
Зампредседателя Совета по развитию цифровой экономики при Совете Федерации, сенатор Артем Шейкин, официально предупредил граждан о новой схеме мошенничества . Злоумышленники создают поддельные CAPTCHA-страницы, которые внешне неотличимы от настоящих, но вместо проверки на «человечность» заставляют жертву самостоятельно запустить вредоносный код на своём устройстве.
По данным экспертов по кибербезопасности, эта схема стремительно набирает обороты по всему миру. Такого рода атаки фиксируются на взломанных легитимных сайтах, пиратских кинотеатрах, торрент-трекерах и даже в рекламных объявлениях .
«Человек попадает на сайт и видит окно, похожее на обычную проверку. Но вместо выбора картинок или ввода текста ему предлагают выполнить действия на устройстве: нажать определенные клавиши, открыть дополнительное окно и подтвердить запуск сомнительной программы» — объяснил сенатор Шейкин .
Как работает схема: от проверки до кражи данных (Пошагово)
Мошенники используют технику, которую специалисты Bitdefender называют ClickFix. Это метод социальной инженерии, при котором жертва сама запускает вирус, полностью обходя встроенные защиты браузера .
Шаг 1. Фальшивая страница проверки
Вы заходите на заражённый или подозрительный сайт (например, для просмотра фильмов или скачивания игр). Вместо контента появляется окно с проверкой CAPTCHA .
Подвох в том, что настоящие CAPTCHA от Google или Cloudflare обрабатываются автоматически на сервере, а здесь вам предлагают выполнить действия в вашей операционной системе.
Шаг 2. Инструкция от злоумышленника
На экране появляются следующие шаги :
- Нажмите Windows + R (чтобы открыть окно «Выполнить»).
- Нажмите Ctrl + V (чтобы вставить скопированную команду).
- Нажмите Enter.
Важный момент: Как только вы открыли окно «Выполнить», мошенники уже скопировали в ваш буфер обмена опасную команду, которая чаще всего начинается с powershell -w hidden или использует системную утилиту mshta.exe .
Шаг 3. Вы запускаете вирус сами
Нажав Enter, вы выполняете команду. Человеку кажется, что он «подтверждает» проверку, но на самом деле он загружает и запускает вирус .
Вредоносный код скачивает зашифрованный архив (например, afc.zip) и запускает исполняемый файл. Всё это происходит скрыто, без всплывающих окон .
Финал: Тотальная кража данных
После заражения на устройство попадает программа-стилер (вор данных). Чаще всего это Lumma Stealer или Vidar Stealer .
Что именно крадут мошенники:
✅ Банковские данные — логины и пароли от интернет-банков
✅ Криптовалютные кошельки — файлы и данные доступа
✅ Все пароли из браузеров — от почты, соцсетей и «Госуслуг»
✅ Файлы cookie сессий — чтобы заходить в ваши аккаунты без пароля
✅ Скриншоты экрана — для поиска ценной информации
✅ Данные Steam и Outlook — игровые аккаунты и рабочая переписка .
Эти вредоносные программы умеют обходить большинство стандартных антивирусов и передают данные через зашифрованные каналы, чтобы их было сложнее обнаружить .
Реальные последствия: от потери аккаунтов до финансового краха
Специалисты из Netskope Threat Labs и NCC Group уже зафиксировали тысячи заражений по всему миру. Жертвами становятся пользователи в США, странах Европы, Латинской Америки и, конечно, в России .
Исследовательская группа NCC Group раскрыла механизм атаки в реальном времени: заражение занимает всего пару минут :
- Т+0 минут — пользователь попадает на фейковую CAPTCHA.
- Т+1 минута — выполняется команда PowerShell, создаётся вредоносный файл.
- Т+2 минуты — установлено соединение с сервером хакеров (C2), началась кража паролей.
- Т+7 минут — злоумышленники завершили «разведку» на устройстве.
Эксперты Malwarebytes отмечают: «Criminals have learned that people trust CAPTCHA challenges» («Преступники поняли, что люди доверяют CAPTCHA-проверкам») . Это доверие делает схему такой опасной — мы привыкли бездумно кликать «Я не робот» десятки раз в день.
🔍 5 признаков мошеннической CAPTCHA (Шпаргалка)
Сенатор Артем Шейкин напоминает простое правило: настоящая CAPTCHA не требует выхода за пределы браузера .
Мошенническая CAPTCHA
Просит нажать Windows + R или Cmd + C/V
Требует запустить PowerShell, Cmd или MSHTA
Просит скопировать и вставить команду в окно «Выполнить»
Странный адрес похож на реальный, но с ошибками (например, g00gle.com)
Цель-«Исправить ошибку» или «Подтвердить личность»
🛡️ Как защитить себя: пошаговая инструкция
✅ Что нужно делать прямо сейчас
- Никогда не выполняйте команды из CAPTCHA.
Запомните железное правило: проверка на «человечность» никогда не требует открывать терминал (cmd), PowerShell или окно «Выполнить». Если вас просят нажать Win+R или Ctrl+V — закройте сайт. - Обновите браузер и отключите лишние уведомления.
Многие схемы используют уязвимости старых версий браузеров. Включите строгие запреты на уведомления и автоматическую загрузку файлов в настройках безопасности . - Проверяйте адрес сайта.
Мошенники часто используют фишинговые домены, которые визуально похожи на легитимные, но имеют лишние символы (например, go0gle.com). - Не заходите на подозрительные сайты.
Если вы пытаетесь скачать бесплатную программу или посмотреть новый фильм бесплатно — высока вероятность наткнуться именно на такой развод .
Что делать, если вы уже выполнили команду?
Если вы поняли, что стали жертвой (после нажатия клавиш открылось чёрное окно и что-то мелькнуло), действуйте немедленно:
- Отключитесь от интернета.
Выдерните кабель или выключите Wi-Fi — это прервёт передачу ваших украденных паролей злоумышленникам . - Смените пароли с другого устройства.
С телефона или ноутбука соседа поменяйте пароли на почте, в «Госуслугах» и в банковских приложениях. - Запустите полную проверку антивирусом.
Если у вас не установлен антивирус, скачайте официальную утилиту от Kaspersky или Dr.Web для лечения системы (лучше делать это в безопасном режиме). - Подайте заявление в полицию.
В случае списания крупных сумм обратитесь в отделение МВД по борьбе с киберпреступностью.
Мнение экспертов: Почему это работает
Проблема новой схемы в том, что она использует не технические уязвимости в коде, а человеческую привычку.
- Артем Шейкин (Совет Федерации): «Современные мошенники всё чаще используют не страх, а доверие пользователей к привычным цифровым действиям» .
- Эксперты Microsoft подтверждают, что схема работает именно из-за «человеческого фактора»: злоумышленники обходят автоматическую защиту, маскируя вирус под рутинную процедуру .
- Исследователи Bitdefender назвали эту технику ClickFix, она позволяет преступникам избегать обнаружения большинством браузерных защит, потому что вредоносный код выполняется после того, как пользователь сам дал на это разрешение .
Заключение: доверяйте привычкам, но проверяйте действие
Мы так привыкли к кнопке «Я не робот», что нажимаем её на автопилоте. Мошенники знают это как никто другой. Но теперь ставки выросли: вместо лишней секунды на выбор картинок вы рискуете потерять доступ ко всем своим аккаунтам и сбережениям.
Запомните раз и навсегда: настоящая CAPTCHA не умеет запускать программы на вашем компьютере. Если проверка просит вас открыть окно «Выполнить» и вставить команду — немедленно закрывайте вкладку.
Поделитесь этой статьёй с друзьями и коллегами! Огромное количество людей до сих пор не подозревают, что стандартная проверка может быть смертельно опасной. Расскажите им эту схему — это может уберечь их от потери работы, денег и личных данных.
По данным Совета Федерации РФ, экспертов Bitdefender, Malwarebytes, NCC Group и NetSkope, май 2026 года.
Подписывайтесь на канал, чтобы первыми узнавать о новых вирусных угрозах и защищать свои данные! 🔔