Coi chừng! Đừng trở thành nạn nhân của những trò lừa đảo CAPTCHA giả mạo này trên web

Tác giả tanthanh 26/01/2026 6 phút đọc

Bạn có thể đã quen thuộc với các bài kiểm tra CAPTCHA cổ điển trên các trang web. Bạn biết đấy, điều mà bạn phải làm nhấp để xác nhận bạn không phải là robot? Nhập các chữ cái và số trông kỳ lạ? Chọn tất cả đèn giao thông, xe buýt, xe máy, những thứ tương tự? Những thử nghiệm này là hầu hết là những phiền toái và bẫy thu thập dữ liệu, nhưng tin tặc hiện đang dựa vào CAPTCHA như một cách để lừa người dùng cài đặt phần mềm độc hại.

Ít nhất, đó là điều mà các chuyên gia bảo mật đang ngày càng cảnh báo. Tháng trước, MalwareBytes Labs đã phát hiện ra một CAPTCHA giả như vậy điều đó đã khiến bạn dán một số văn bản “verification” vào lời nhắc Windows Run. Gần đây, cũng đã có báo cáo của một phần mềm độc hại có tên “Quakbot” sử dụng một biến thể thậm chí còn nguy hiểm hơn của trò lừa đảo CAPTCHA.

Các trò gian lận CAPTCHA hoạt động như thế nào?

Tấn công hack qua CAPTCHA rất nguy hiểm vì người dùng nhấp vào chúng theo thói quen khi chúng xuất hiện trên các trang web. Tin tặc hiện đang khai thác hành vi phản ứng tức thời này bằng các tin nhắn bật lên giả mạo trông rất giống với các bài kiểm tra CAPTCHA thực sự.

Ở đây cũng vậy, người dùng được yêu cầu nhấp vào hộp để giải bài kiểm tra. Tuy nhiên, khi bạn nhấp vào hộp đó, bạn sẽ chuyển hướng đến các trang khác. Các hành động tiếp theo đảm bảo rằng các lệnh nguy hiểm được sao chép vào clipboard của bạn, giúp kẻ tấn công có thể chạy các lệnh nguy hiểm đó trên máy tính của bạn mà không được phép.

Trong một số trường hợp, các CAPTCHA này thậm chí còn nhắc bạn nhấn một số tổ hợp phím nhất định trực tiếp gọi Windows PowerShell hoặc thực thi một số lệnh nhất định trên thiết bị của bạn. Đó là lý do tại sao bạn nên nghi ngờ thêm về bất kỳ yêu cầu CAPTCHA nào yêu cầu bạn làm bất cứ điều gì bất thường.

Các loại tấn công này được gọi là tấn công ClickFix CAPTCHA vì chúng sử dụng kỹ thuật xã hội để lừa bạn nhấp vào CAPTCHA giả và các yếu tố khác, sau đó kích hoạt các phản hồi độc hại.

Những cuộc tấn công này có hiệu quả đáng ngạc nhiên

Để giúp bạn tránh xa các ngón chân của mình, mọi nhấp chuột tiếp theo trong cuộc tấn công ClickFix CAPTCHA đều được ngụy trang bằng các yêu cầu xác minh “bổ sung” nhằm che giấu bản chất độc hại của những gì bạn đang làm. Trong trường hợp xấu nhất, nó kết thúc bằng việc bạn vô tình thực thi một tập lệnh phần mềm độc hại chiếm PC của bạn.

Các cuộc tấn công CAPTCHA được cho là có tỷ lệ thành công cao hơn các nỗ lực lừa đảo khác vì các thủ thuật tâm lý mới lạ của chúng nhằm vào hành vi phản xạ khi lính canh của chúng ta ngừng hoạt động. Sự bảo vệ thực sự duy nhất là luôn cảnh giác, đặc biệt là khi truy cập các trang web không quen thuộc. Và, tất nhiên, có phần mềm chống vi-rút đáng tin cậy bảo vệ chống lại các mối đe dọa.