想必各位对网站上经典的验证码(CAPTCHA)测试早已司空见惯——那些要求点选“我不是机器人”的确认框,辨识扭曲的字母数字组合,或是勾选所有交通灯、公交车、摩托车的图片验证。这些测试本只是令人厌烦的数据收集陷阱,但黑客正将其改造为诱导用户安装恶意软件的新型骗局。
网络安全专家近期持续发出警告。上个月,MalwareBytes实验室发现一类虚假验证码会诱导用户将“验证文本”粘贴至Windows运行窗口。更令人警惕的是,名为“Quakbot”的恶意软件正在使用升级版的验证码诈骗手段。
这类骗局之所以危险,在于用户已形成遇到验证码就条件反射点击的习惯。黑客精心伪造的弹窗消息与真实验证测试几乎别无二致,同样要求用户点击方框完成验证。但点击后页面会跳转至恶意站点,更隐蔽的操作会将危险指令复制到剪贴板,使攻击者能远程执行未授权命令。
某些验证码甚至会诱导用户输入特定快捷键组合,直接激活Windows PowerShell或在设备上执行高危指令。因此,任何要求非常规操作的验证请求都值得高度警惕。这类被称作“ClickFix验证码攻击”的骗局,本质是利用社会工程学手段,通过层层伪装的交互步骤触发恶意程序。
令人震惊的是,这种攻击方式成功率远超普通网络诈骗。攻击者会通过连续的“二次验证”请求麻痹受害者,最终使用户在无意识状态下运行掌控电脑的恶意脚本。研究显示,该手法专门针对人类在放松警惕时的条件反射行为实施心理操控。
目前最有效的防护措施是保持警觉——特别是在访问陌生网站时。当然,安装可靠的反病毒软件构筑基础防线同样不可或缺。
