Нажал "Я не робот" — взломали банк. Новая схема мошенников

Мой знакомый сисадмин обнаружил очередную схему мошенников. Админа вы кстати знаете, он снимался в одном из моих обзоров.

На прошлой неделе он зашел на какой-то форум, форум был на домене второго уровня, "чтототам.ещечтото.ru" как-то так. Точный адрес не важен, важно, что форум был создан на сервисе для создания бесплатных сайтов. После загрузки сайта появилась привычная плашка с галочкой "Я не робот". Ну он и нажал - нормальная практика. Дальше выскочило сообщение - "для завершения проверки нажмите Win+R и вставьте команду".

Тут небольшое пояснение. Команда Win+R открывает окно "Выполнить", и туда можно вручную вбить название приложения. Например, если написать туда calс, то откроется калькулятор. Но если написать туда вредоносный код, то он тоже выполнится!

Конечно он посмеялся и забыл - нормальная капча никогда не просит открывать системные окна. Лишь через неделю рассказал мне эту историю. Я немного почитал интернет и нашел информацию про эту схему. Оказывается, так у людей крадут доступ к телефонам и банкам.

Как это устроено

Мошенники не придумывают новые сайты. Их слишком быстро блокируют. Они взламывают старые, надежные ресурсы. Те, где вы бываете годами. Сайты с рецептами, форумы или даже местные СМИ.

Вы заходите туда как обычно. А вместо контента - поддельная капча. Внешне не отличить от настоящей проверки Cloudflare или Google. Те же цвета, тот же логотип, та же галочка.

Вы кликаете. В этот момент на вашем компьютере в буфер обмена копируется вредоносная команда. Вы её не видите.

Дальше вас просят открыть окно "Выполнить" (Win+R) и вставить текст. Обычный пользователь делает это не задумываясь. Нажал Enter - и на устройстве запустился скрипт, который крадет всё подряд.

Почему мы ведемся

Потому что капча - это рефлекс. Мы проходим её по десять раз на дню. На почте, в госуслугах, при оплате штрафов. Мозг уже не включается. Рука сама тянется к галочке. Мошенники используют нашу привычку. Им не нужно уговаривать вас перевести деньги или назвать код из смс. Вы сами делаете то, что они хотят. Добровольно. Своей рукой.

Запомните простое правило. Настоящая проверка "Я не робот" заканчивается в браузере. Она никогда - слышите, никогда - не просит вас открывать системные окна, вставлять команды или запускать приложения. Если просит - закрывайте вкладку не думая.

Что именно у вас украдут

• Скрипт работает тихо. Он собирает все пароли, которые хранятся в браузере. Chrome, Яндекс, Опера - неважно. Логины, пароли, автозаполнение - всё уходит мошенникам.
• Дальше - куки сессий. Это такие маленькие файлы, благодаря которым вы остаетесь залогиненным на сайтах. Получив их, мошенник заходит в ваш аккаунт без пароля. Двухфакторная защита тут не поможет. Просто потому что система думает - это вы.
• И конечно - данные банковских карт. Если вы хотя бы раз сохранили карту в браузере для быстрой оплаты - считайте, она у мошенников в кармане.

На телефонах схема работает чуть иначе. Там через браузер сложнее запустить команду. Поэтому вас попросят скачать "обновление браузера" или "приложение для проверки безопасности". Это тоже ловушка. Благо, на это почти никто не ведется.

Три признака что перед вами ловушка

• Первый. Капча появляется сразу при входе. Обычная проверка включается после конкретных действий - регистрация, отправка формы, слишком частые запросы. Если она встречает вас с порога - это странно.
• Второй. После нажатия галочки вас просят сделать что-то за пределами браузера. Открыть системное окно. Вставить команду. Скачать файл. Это не капча. Это мошенники. Закрывайте.
• Третий. Сайт выглядит как обычно, но что-то не так. Другой шрифт. Серый фон на весь экран. Логотип съехал на пару пикселей. Если сомневаетесь - не кликайте. Подождите пару дней, зайдите снова. Или найдите этот сайт через поисковик заново.

Что делать прямо сейчас

1. Отключите сохранение паролей в браузере. Настройки - конфиденциальность - предложить сохранить пароли. Выключить. Вместо этого заведите отдельный менеджер паролей. Бесплатный KeePass, например.
2. Никогда не сохраняйте данные карт в браузере. Удобно - да. Безопасно - нет. Лучше потратить 30 секунд на ввод карты, чем потом отмывать украденные деньги.
3. Включите двухфакторную аутентификацию везде где можно. Госуслуги, почта, банки, соцсети, мессенджеры. Даже если пароль украдут - без кода из телефона не войти.
4. Обновите браузер и операционную систему. Большинство таких скриптов используют старые дыры, которые уже закрыли обновлениями. Кнопка "напомнить позже" реально опасна.
5. Поставьте блокировщик рекламы. Любой. Зайдите в магазин расширений для вашего браузера и вбейте "блокировка рекламы". Плагин блокирует много вредоносных скриптов еще до того как они запустились.

Если вы уже нажали и вставили команду

Не паникуйте. Действуйте по порядку.

1. Сразу отключите компьютер от интернета. Выдерните кабель. Отключите вайфай. Это остановит передачу данных.
2. С другого устройства - например с телефона - поменяйте пароли. Начните с почты. Через неё восстанавливают доступ ко всему остальному. Потом банки, госуслуги, мессенджеры.
3. Позвоните в банк. Скажите что данные могли украсть. Пусть заблокируют онлайн-операции или перевыпустят карту. Это неудобно, но лучше чем пустой счет.
4. Запустите проверку антивирусом. Если нет платного - скачайте бесплатный Dr.Web CureIt с официального сайта или Kaspersky Virus Removal Tool. Они не требует установки. Запустили, проверили, удалили.

Заключение

Настоящая капча не просит открывать системные окна. Настоящая капча не просит вставлять команды. Если просит - закройте вкладку. И расскажите об этом родителям. Они главная цель мошенников.

А вам попадалась такая капча? На каких сайтах? Или может кто-то из знакомых уже попался? Напишите в комментариях. Чем больше историй - тем быстрее люди научатся распознавать эту схему.