Các cuộc tấn công CAPTCHA giả tăng 563% trong năm ngoái: Cách nhận biết và giữ an toàn khi trực tuyến

Bạn có thể không nghĩ rằng việc kiểm tra CAPTCHA lại là mồi nhử cho tội phạm mạng, nhưng nếu mắc bẫy, thiết bị của bạn có thể bị nhiễm mã độc. Dưới đây là cách nhận biết chúng.

CAPTCHA có thể gây khó chịu, nhưng chúng cung cấp một lớp xác minh người dùng giúp các dịch vụ web phòng vệ trước nhiều mối đe dọa mạng.

Thật không may, chúng cũng có thể bị sử dụng như mồi nhử độc hại nhằm vào khách truy cập và đang trở thành vũ khí được tội phạm mạng hiện đại ưa chuộng.

Theo Báo cáo Mối đe dọa Toàn cầu 2026 của CrowdStrike, CAPTCHA giả đang được kẻ tấn công áp dụng với tốc độ chóng mặt để xâm nhập thiết bị của bạn. Trong hai năm qua, mức độ phổ biến của chúng tăng mạnh đến mức các mồi nhử cập nhật trình duyệt độc hại đang bị loại bỏ để nhường chỗ cho hình thức này.

CAPTCHA là gì?

CAPTCHA là cơ chế thử thách – phản hồi xuất hiện trên các trang web.

CAPTCHA đưa ra một thử thách để phân biệt giữa người và bot truy cập vào trang web, tài nguyên hoặc dịch vụ trực tuyến. Các thử thách này có thể là câu đố hình ảnh, nhập ký tự bị làm méo, hoặc giữ nút trong một khoảng thời gian để chứng minh bạn là con người.

Ban đầu, cơ chế này được thiết kế để ngăn bot spam diễn đàn và nền tảng web bằng tin nhắn tự động. Sau đó, nó được mở rộng để chặn các cuộc tấn công dò mật khẩu, đăng ký hoặc mua hàng hàng loạt tự động, thu thập dữ liệu và các cuộc tấn công dựa trên bot.

Dù gây khó chịu — đặc biệt khi hệ thống không xác minh được bạn ngay lần đầu — CAPTCHA vẫn là một phần của cuộc sống trực tuyến và cung cấp một lớp bảo vệ cho các trang web trước các mối đe dọa tự động.

Phát hiện từ CrowdStrike

Theo báo cáo, trong năm qua nhiều tội phạm mạng đã chuyển từ mồi nhử cập nhật trình duyệt sang chiến thuật CAPTCHA giả.

So với dữ liệu sự kiện bảo mật năm 2024, việc sử dụng CAPTCHA giả trong năm 2025 đã tăng 563%.

Vì sao CAPTCHA bị dùng làm công cụ tấn công?

Có rất nhiều dạng cửa sổ và cơ chế CAPTCHA khác nhau, và kẻ tấn công lợi dụng sự thiếu thống nhất này.

Về bản chất, CAPTCHA độc hại được dùng để dụ nạn nhân thực hiện một hành động dẫn đến việc tải xuống và chạy mã độc hoặc truy cập trang web độc hại. Chúng có thể chứa hướng dẫn ở cấp hệ thống, liên kết chuyển hướng lưu lượng truy cập hoặc mã QR dẫn đến tên miền lừa đảo.

Các chiến dịch sử dụng CAPTCHA độc hại thường liên quan đến việc triển khai trojan, phần mềm đánh cắp thông tin và spyware.

Cách nhận biết CAPTCHA giả và cần làm gì

Phần lớn, cửa sổ CAPTCHA giả được dùng để dụ nạn nhân tự “hack” chính mình.

Đây là một phương thức tấn công kỹ thuật xã hội: hiển thị cảnh báo yêu cầu hành động, đưa ra hướng dẫn từng bước và dụ người dùng tự tải xuống gói độc hại.

Cách thức hoạt động:

Một CAPTCHA giả xuất hiện trên trang web bị xâm nhập hoặc đáng ngờ. Thay vì câu đố, bạn sẽ được yêu cầu xác minh theo cách khác bằng cách làm theo một loạt hướng dẫn.

Các hướng dẫn thường rất đơn giản, yêu cầu bạn sao chép và dán một đoạn lệnh vào hộp thoại Run của Windows (Win + R) hoặc terminal. Hành động này sẽ chạy PowerShell và tải mã độc về hệ thống.

Vì chính bạn khởi chạy quá trình tải xuống ở cấp hệ thống, các cơ chế chống phishing tiêu chuẩn sẽ không giúp được.

Bạn cũng có thể gặp các “lỗi” trong cửa sổ CAPTCHA yêu cầu truy cập sang trang web khác bằng một liên kết giả mạo để xem nội dung.

Trong một ví dụ, CAPTCHA giả hiển thị logo Cloudflare quen thuộc và thông báo phát hiện lưu lượng bất thường. Nó yêu cầu người dùng sao chép và dán lệnh để “xác minh thủ công”. Khi thực hiện, người dùng vô tình tải trojan đánh cắp dữ liệu về máy.

Cách tránh mắc bẫy CAPTCHA giả

Không chạy bất kỳ lệnh cấp hệ thống nào được yêu cầu trực tuyến. Đây gần như chắc chắn là lừa đảo, kể cả các hướng dẫn sao chép – dán. Bất kỳ thứ gì vượt quá một câu đố thông thường đều không đáng để mạo hiểm.
Nếu CAPTCHA yêu cầu bạn chạy gì đó, hãy bỏ qua.
Luôn cập nhật trình duyệt và bật quét web thời gian thực. Bạn có thể được cảnh báo khi gặp cửa sổ độc hại hoặc trang phishing.
Đừng hoảng sợ. Tội phạm mạng thường tạo cảm giác khẩn cấp để bạn hành động nhanh. Hãy dừng lại vài giây để suy nghĩ xem cảnh báo có thật hay không, rồi đóng tab.
Cân nhắc sử dụng trình chặn quảng cáo. Chúng không chặn được tất cả, nhưng có thể giúp giảm rủi ro và làm sạch trải nghiệm duyệt web.
Liên kết URL lạ, lỗi chính tả và cách dùng từ bất thường đều là dấu hiệu của mồi nhử CAPTCHA. Hãy cảnh giác.
Giữ thói quen bảo mật trình duyệt tốt để bảo vệ hệ thống của bạn.