Hé lộ thủ đoạn của hacker: dùng CAPTCHA giả, lừa người dùng tự cài mã độc chỉ với 5 nút bấm

Trong thời buổi internet phổ cập tới mọi ngóc ngách Trái Đất, kẻ gian trên mạng đang ngày một sáng tạo trong tìm cách lừa người dùng. Thời gian gần đây, ngày một nhiều những vụ tấn công diễn ra thông qua một thứ mà người dùng internet đã quá quen thuộc: CAPTCHA.

Là chữ viết tắt của “Completely Automated Public Turing test to tell Computers and Humans Apart” (Phép thử Turing công cộng hoàn toàn tự động để phân biệt máy tính với người), CAPTCHA là cơ chế giúp các dịch vụ trực tuyến hạn chế các lượt truy cập tự động, vốn có thể làm suy giảm tài nguyên của doanh nghiệp.

Dễ hiểu hơn, CAPTCHA là hàng rào ngăn các phần mềm tự động truy cập liên tục, có thể gây nghẽn mạng; nó là một công cụ đơn giản để phân biệt người dùng thật và phần mềm truy cập tự động.

CAPTCHA rất đa dạng: khi thì gõ một dòng ký tự đã được biến đổi đôi chút, khi thì ghép hình sao cho khớp, có lúc lại yêu cầu người dùng chỉ ra đâu là hình mèo, hình xe đạp hay hình đèn giao thông.

Trong nỗ lực đánh cắp thông tin người dùng, một số kẻ gian đã tạo ra một loại hình CAPTCHA độc hại mới. Như trong trường hợp dưới đây, khi người dùng muốn truy cập vào một trang nội dung như phim ảnh, âm nhạc, chia sẻ hình ảnh hay bài báo, một dòng thông báo sẽ hiện lên như sau:

Tuy nhiên, sau chi tick vào ô trống, người dùng sẽ bị đưa tới địa chỉ mới, hiển thị nội dung yêu cầu người dùng làm theo hướng dẫn.

Không ít người dùng sẽ bị những chỉ dẫn “dường như vô hại” này đánh lừa, và nếu làm theo chúng, thiết bị chạy Windows của người dùng sẽ tự tải file độc hại về máy.

Người dùng bị lừa như thế nào?

Trang web vừa được người dùng truy cập sẽ copy một đoạn văn bản ngắn vào bộ nhớ đệm của máy (cũng tương tự như khi bạn bấm tổ hợp phím Ctrl+C). Phải nói thêm, trên các trình duyệt gốc Chromium – tức là hầu hết các trình duyệt thông dụng hiện nay, website chỉ có thể làm điều này khi bạn cho phép.

Nội dung như sau:

“Thực hiện những bước xác thực dưới đây:

Để chứng minh một cách tốt hơn rằng bạn không phải người máy, hãy:

1. Bấm và giữ nút Windows và R.

2. Trong hộp thoại xác nhận, bấm Ctrl+V

3. Bấm Enter để hoàn thành

Bạn sẽ quan sát được và đồng ý với nội dung sau:

‘ Tôi không phải người máy – ID Xác nhận reCAPTCHA: 8253 ‘

Thực hiện những bước trên để hoàn thành việc xác thực.”

Khi bạn click vào ô trống khẳng định “Tôi không phải người máy”, Windows đã cho rằng bạn đồng ý với việc copy văn bản vào bộ nhớ đệm của máy. Hành động này không có gì đáng ngại, cho tới khi bạn thực hiện những bước hiện tiếp theo.

Bằng một thủ thuật kỹ nghệ xã hội tinh vi, lừa người dùng thực hiện hành động vẫn làm khi lướt web, kẻ gian đã dẫn người dùng tới một bảng chỉ dẫn thực hiện những hành động sau:

Trong phần chỉ dẫn, có dòng chữ “ Bạn sẽ quan sát được và đồng ý với nội dung sau: ‘Tôi không phải người máy – ID Xác nhận reCAPTCHA: 8253’ ”. Nhưng thực tế, dòng chữ này chỉ là đoạn cuối của một lệnh tải dài. Phần đầu của nội dung được copy/paste có dạng như sau:

Trên Windows, “mshta” là lệnh thực thi file lành tính có tên mshta.exe, nhưng trong trường hợp này, lệnh sẽ tải và chạy file độc hại lấy từ tên miền kia. Theo các nhà nghiên cứu bảo mật tại Malwarebytes Labs, những file lấy về đều có các đuôi thông dụng như mp3, mp4, jpg, jpeg, swf, html. Họ cho rằng file độc hại sẽ còn nhiều đuôi khác nữa.

Thực tế, những file này là một lệnh Powershell được mã hóa, sẽ chạy ngầm trong hệ thống và tải mã độc về. Trong một số trường hợp được kiểm tra, lệnh mashta đã tải về file độc, và file độc này tiếp tục tải về những phần mềm đánh cắp dữ liệu trên máy.

Làm sao để ngăn chặn phương thức tấn công này?

Đầu tiên và quan trọng nhất, chúng ta cần tỉnh táo khi sử dụng internet, nhất là khi cạm bẫy ngày một được bố trí tinh vi. Không nên làm theo chỉ dẫn đáng ngờ trên mạng, kẻo rước họa vào thân và rước file độc hại vào máy.

Nhân tiện nói tới chỉ dẫn, những bước sau đây sẽ giúp bạn vô hiệu hóa JavaScript trên một số trình duyệt gốc Chromium. Về cơ bản, một website có thể tự ý copy văn bản vào bộ nhớ đệm nhờ hàm JaveScript có tên document.execCommand(‘copy’) .

Việc vô hiệu hóa JavaScript có thể hạn chế những cuộc tấn công theo cách này, tuy nhiên nó có thể khiến một số trang web bạn vẫn sử dụng không hoạt động bình thường.

Dưới đây là cách tắt JavaScript cho một số trình duyệt thông dụng.

Chrome

1. Mở Chrome và nhấp vào biểu tượng ba chấm ở góc trên bên phải.

2. Chọn Cài đặt từ menu thả xuống.

3. Ở thanh bên trái, nhấp vào Quyền riêng tư và bảo mật .

4. Chọn Cài đặt trang web .

5. Cuộn xuống phần Nội dung và nhấp vào JavaScript .

6. Chọn Không cho phép trang web sử dụng JavaScript.

7. Bạn cũng có thể thêm các trang web cụ thể vào danh sách Chặn hoặc Cho phép bằng cách nhấp từng mục tương ứng.

Firefox

1. Nhập about:config vào thanh tìm kiếm, chọn Chấp nhận rủi ro và tiếp tục .

2. Nhập javascript.enabled vào ô tìm kiếm ở đầu trang.

3. Nhấp vào tùy chọn javascript.enabled để chuyển giá trị thành false (tắt JavaScript).

Opera

1. Mở Opera và nhấp vào biểu tượng Cài đặt .

2. Chọn Quyền riêng tư & Bảo mậ t.

3. Nhấp vào Cài đặt trang web.

4. Chọn tùy chọn JavaScript.

5. Chọn Không cho phép trang web sử dụng JavaScript để tắt JavaScript trên tất cả các trang.

6. Để tắt JavaScript cho từng trang cụ thể, nhấp vào Thêm trong phần Không được phép sử dụng JavaScript , sau đó nhập URL của trang web.

Microsoft Edge

1. Mở Microsoft Edge và nhấp vào biểu tượng ba chấm ở góc trên bên phải.

2. Chọn Cài đặt từ menu thả xuống.

3. Ở thanh bên trái, nhấp vào Cookies và quyền trang web.

4. Cuộn xuống phần Tất cả quyền và chọn JavaScript.

5. Gạt công tắc để tắt JavaScript.

6. Bạn cũng có thể quản lý JavaScript cho từng trang bằng cách thêm chúng vào danh sách Chặn hoặc Cho phép .