حيل الـ CAPTCHA المزيفة كيف يقوم الفحص الأمني بتثبيت البرامج الضارة

توجد فحوصات أمنية لإبعاد الروبوتات، لكن المحتالين قلبوا النص. تستخدم عمليات الاحتيال المزيفة لاختبارات CAPTCHA المزيفة الأدوات المصممة لحمايتك كوسيلة تمويه لاختراق جهاز الكمبيوتر الخاص بك.

صفحات التحقق المزيفة لا تختبر ما إذا كنت بشرياً. إنهم يخدعونك لتثبيت برامج ضارة على جهازك الخاص. تحاول أن تثبت أنك لست روبوتًا، وفي أثناء ذلك، تقوم بتسليم مفاتيح نظامك.

توضح هذه المقالة كيف يعمل أسلوب ClickFix بالضبط، وما الذي يحدث عندما تضغط على زر الإدخال، وكيفية إيقاف الهجوم في مساراته.

باختصار

• لا تستخدم أبدًا اختصارات لوحة المفاتيح مثل Win+R أو أوامر النسخ واللصق لإثبات أنك إنسان.
• تعرّف على الخدعة: تقوم برامج CAPTCHA المزيفة بنسخ التعليمات البرمجية الخبيثة بصمت إلى الحافظة الخاصة بك عند النقر على زر.
• افصل جهازك عن الإنترنت على الفور إذا قمت بلصق أمر وتشغيله عن طريق الخطأ.
• تحقق من فاتورة هاتفك المحمول بحثًا عن أي رسوم غير مصرح بها إذا طلب منك أمر CAPTCHA إرسال رسالة نصية.

ما هي عملية احتيال CAPTCHA المزيفة؟

خدعة CAPTCHA المزيفة هي صفحة ويب خبيثة تحاكي اختبار تحقق بشري لخداعك لتشغيل أوامر الكمبيوتر يدويًا. تطلب منك اختبارات CAPTCHA الحقيقية النقر على إشارات المرور أو وضع علامة في مربع. تستخدم برمجيات CAPTCHA الخبيثة المزيفة تقنية تسمى ClickFix، حيث تنسخ الصفحة بصمت نصًا خبيثًا مخفيًا وخبيثًا إلى حافظة حاسوبك في اللحظة التي تنقر فيها على "تحقق".

ثم تعطيك الصفحة بعد ذلك تعليمات خطوة بخطوة مصممة لتبدو وكأنها فحص أمني قياسي. تخبرك بالضغط على "مفتاح ويندوز + R" لفتح قائمة "تشغيل"، ثم الضغط على "Ctrl + V" للصق رمز التحقق، ثم الضغط على Enter. ولأنك تعتقد أنك تقوم بلصق رمز غير ضار، فإنك تكون في حالة من الحذر.

في اللحظة التي تضغط فيها على Enter، تقوم بتنفيذ ذلك البرنامج النصي المخفي. وخلف الكواليس، يقوم الأمر بتشغيل أدوات ويندوز شرعية مثل PowerShell أو mshta.exe - وهي برامج تنفذ البرامج النصية - لتنزيل وتثبيت البرمجيات الخبيثة مباشرةً على جهازك.

في الربع الثالث من عام 2024، لاحظ الباحثون ارتفاعًا كبيرًا في حملات CAPTCHA المزيفة. وبحلول أبريل 2025، تم إرسال ما يقرب من 11% من جميع رسائل البريد الإلكتروني التصيدية على مستوى العالم باستخدام منصات موثوقة. وقد أوصلت هذه الحملات برمجيات خبيثة مدمرة بما في ذلك Lumma Stealer وRadamanthys وAsyncRAT وXWorm.

كيف تنتشر حيل الـ CAPTCHA المزيفة؟

تنتشر حيل CAPTCHA المزيفة في المقام الأول من خلال نتائج البحث المخترقة، والإعلانات الخبيثة، ورسائل البريد الإلكتروني الخادعة. قد تبحث عن تنزيل برنامج شائع وتنقر على إعلان - يُعرف باسم الإعلانات الخبيثة - يعيد توجيهك إلى صفحة تحقق مزيفة. يستخدم المهاجمون أيضًا تسميم مُحسّنات محرّكات البحث، وهو تكتيك يتلاعبون فيه بمحركات البحث لجعل مواقعهم الاحتيالية تحتل أعلى النتائج.

في أحيانٍ أخرى، قد تنقر على رابط في رسالة بريد إلكتروني تصيدية أو تصل إلى موقع إلكتروني شرعي اخترقه أحد المخترقين ببرامج نصية محقونة. وبمجرد وصولك، يحظر الموقع المحتوى الذي تريده ويعرض لك عبارة "أنا لست روبوتًا" المزيفة.

لا يمكنك الاعتماد على حظر عنوان ويب واحد سيء للبقاء آمنًا. يقوم المهاجمون بانتظام بتبديل عناوين URL للتهرب من الاكتشاف بعد أن تقوم شركات الأمن السيبراني بحجب صفحاتهم.

ما هي البرمجيات الخبيثة التي يتم تثبيتها بواسطة الـ CAPTCHAs المزيفة؟

تقوم الـ CAPTCHAs المزيفة بتثبيت برمجيات خبيثة مصممة لسرقة بياناتك أو السيطرة الكاملة على جهازك. الحمولات الأكثر شيوعًا هي برامج سرقة المعلومات مثل Lumma Stealer و StealC و Rhadamanthys، والتي تحصد بصمت كلمات المرور المحفوظة وملفات تعريف الارتباط للمتصفح ومحافظ العملات الرقمية. من خلال سرقة ملفات تعريف الارتباط النشطة لجلسة العمل الخاصة بك، يتجاوز المخترقون المصادقة الثنائية ويدخلون مباشرةً إلى حساباتك.

تُسقط الحملات الأخرى أحصنة طروادة للوصول عن بُعد (RATs) مثل AsyncRAT أو XWorm، والتي تمنح المهاجمين بابًا خلفيًا خفيًا لمشاهدة شاشتك والتحكم في جهازك. قد تواجه أيضًا برامج تحميل متعددة المراحل مثل البرمجيات الخبيثة Emmenhtal التي تعمل كشاحنة توصيل، حيث تقوم بإسقاط سلسلة من الفيروسات الإضافية على نظامك بمرور الوقت.

يستهدف هذا التهديد أيضاً الهواتف الذكية من خلال متغير محدد للهواتف المحمولة. تخدعك بعض برامج CAPTCHA المزيفة على الهواتف لإرسال رسالة نصية آلية "لإثبات أنك إنسان"، مما يؤدي في الواقع إلى عمليات احتيال دولية عبر الرسائل النصية القصيرة ويؤدي إلى فواتير هاتفية تصل إلى حوالي 30 دولارًا لكل ضحية.

كيف يمكنك تمييز اختبار CAPTCHA المزيف من الحقيقي؟

يمكنك التعرف على الـ CAPTCHA المزيفة لأنها تطلب منك دائمًا تنفيذ إجراءات خارج متصفح الويب الخاص بك، مثل فتح قوائم النظام أو نسخ نص. التحقق الأمني الشرعي سيطلب منك فقط التفاعل مباشرة مع صفحة الويب نفسها.

نقرت على اختبار CAPTCHA مزيف ماذا أفعل؟

إذا قمت بلصق الأمر وتشغيله، يجب عليك فصل جهازك عن الإنترنت على الفور لقطع اتصال المهاجم. اسحب كابل الإيثرنت أو أوقف تشغيل جهاز توجيه Wi-Fi لإيقاف البرمجية الخبيثة من إرسال كلمات المرور المسروقة إلى المخترق.

1. افصل جهازك عن الإنترنت على الفور - اقطع اتصال Wi-Fi أو افصل كابل الإيثرنت.
2. لا تقم بإعادة التشغيل بعد - فبعض البرمجيات الخبيثة تخفي نشاطها أو تدفن نفسها بشكل أعمق أثناء إعادة تشغيل النظام.
3. قم بتشغيل فحص كامل لمكافحة الفيروسات من أداة أمان حسنة السمعة.
4. قم بتغيير كلمات المرور على جميع الحسابات المهمة، باستخدام جهاز مختلف تماماً ونظيف.
5. تحقق من بياناتك المصرفية وفعّل تنبيهات الاحتيال لدى مؤسستك المالية.
6. أبلغ عن عنوان URL الخاص بالاحتيال إلى هيئة مكافحة الجرائم الإلكترونية في بلدك.

كيف تحمي نفسك من عملية احتيال CAPTCHA ClickFix؟

احمِ نفسك من خلال التعامل مع أي طلب لاستخدام اختصارات لوحة المفاتيح مثل Windows Key + R على أنه تهديد أمني فوري وشديد. لا يمكن لمواقع الويب إجبارك على فتح قوائم النظام، لذا عليهم استخدام الحيل النفسية لإقناعك بالقيام بذلك بنفسك.

كن متشككًا بشدة في أي اختبار CAPTCHA يظهر على نافذة منبثقة أو نطاق مشبوه أو موقع بث محتوى مجاني. يمكنك تقليل تعرضك للقرصنة باستخدام امتداد متصفح يحظر النطاقات الخبيثة والحفاظ على تحديث نظام التشغيل وبرنامج مكافحة الفيروسات بالكامل.

بالنسبة للتصفح عالي الخطورة، فكّر في تعطيل جافا سكريبت على المواقع غير المعروفة أو استخدام متصفح مخصص ومعزول. إذا كنت تستخدم هاتفًا ذكيًا، لا ترسل أبدًا رسالة نصية قصيرة للتحقق من هويتك - لن تفتح لك برامج CAPTCHA الشرعية تطبيق المراسلة لإرسال رسائل نصية مميزة.

الخلاصة

خدعة الـCAPTCHA المزيفة مخادعة ببراعة لأنها تقلب عاداتك الأمنية ضدك. أنت مهيأ للنقر على الأزرار لإثبات أنك إنسان، مما يجعل الطلب يبدو روتينياً وغير ضار.

يستغل هذا الهجوم السلوك البشري الروتيني. يحتاج المخترقون إلى أن تقوم بتشغيل التعليمات البرمجية الخاصة بهم يدويًا، لذا فهم يخفون الحمولة كخطوة تحقق قياسية.

إذا طلب منك أحد مواقع الويب الضغط على مفتاح ويندوز أو لصق أمر لإثبات أنك إنسان، فأغلق علامة التبويب على الفور.

الأسئلة المتداولة
هل يمكن لبرنامج مكافحة الفيروسات الخاص بي حظر اختبار CAPTCHA المزيف؟

قد يلتقط برنامج مكافحة الفيروسات الخاص بك البرمجية الخبيثة بعد تنزيلها، لكن لا يمكنه منعك من لصق الأمر الخبيث يدويًا وتشغيله.

هل يؤدي النقر على زر التحقق إلى تثبيت البرمجية الخبيثة؟

النقر على الزر ينسخ فقط الشيفرة الخبيثة إلى الحافظة الخاصة بك؛ تحدث الإصابة الفعلية عندما تلصق وتضغط على Enter.

هل اختبارات CAPTCHA المزيفة خطيرة فقط على أجهزة الكمبيوتر التي تعمل بنظام ويندوز؟

في حين أن خدعة مربع الحوار "CAPTCHA" المزيفة للتحقق من صحة Windows تستهدف أجهزة الكمبيوتر، فإن المتغيرات من هذه الحيلة على الأجهزة المحمولة تخدع المستخدمين لإرسال رسائل نصية ذات سعر مميز.

كيف يخفي المخترقون الأمر الخبيث عني؟

تقوم صفحة CAPTCHA المزيفة بنسخ الرمز البرمجي بصمت إلى الحافظة الخاصة بك بحيث عندما تلصقه في موجه التشغيل، تقوم بتنفيذه دون قراءته.

آدم كولينز هو باحث في الأمن السيبراني في شركة ScamAdviser، ويعمل تحت اسم مستعار من أجل الخصوصية والأمان. مع أكثر من أربع سنوات في الخطوط الأمامية الرقمية، وهو متخصص في ترجمة التهديدات المعقدة إلى نصائح قابلة للتنفيذ. مهمته: فضح الإشارات الحمراء حتى تتمكن من التنقل عبر الويب بثقة.

شاهد السيرة الذاتية الكاملة