סומכים על CAPTCHA? יש מצב שאתם מכניסים את התוקפים בעצמכם

CAPTCHA ESET. תמונה: Canva

מנגנון האימות האנושי (CAPTCHA), שנועד במקור להגן על אתרים מפני פעילות אוטומטית של בוטים, הפך בעצמו למטרה ואפילו לכלי בידי תוקפים. על פי דוח האיומים של ESET למחצית הראשונה של 2025, ישנה עלייה במקרים שבהם מוצגים למשתמשים דפי CAPTCHA מזויפים, שנראים כמעט זהים למקור אך משמשים כפלטפורמה להדבקת מערכות בתוכנות זדוניות.

התחזות לדפי אימות איננה עניין שולי. כיום יותר ממחצית מתעבורת האינטרנט מופקת על ידי בוטים, וכמעט 40% מהם מוגדרים כזדוניים: החל בהפצת תכנים מזיקים ועד מתקפות מניעת שירות (DDoS) והשתלטות על חשבונות עם סיסמאות שנפרצו. הוסיפו לכך דף CAPTCHA שנראה לגיטימי וקיבלתם דרך מתוחכמת להטמעת קוד זדוני במחשב המשתמש.

אחת הדוגמאות הבולטות היא טכניקת ClickFix, שבה תוקפים משתמשים בתמונות CAPTCHA מזויפות כדי להפיץ תוכנות כופרה, סוסים טרויאניים לגישה מרחוק ונוזקות גונבות מידע שמתחזות למסמכים רשמיים. במקרים מסוימים המשתמש נדרש להוריד קובץ או להריץ פקודה, פעולה תמימה לכאורה שמפעילה ברקע סקריפט שמוריד נוזקה משרת חיצוני.

כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime

לדברי אלכס שטיינברג, מנהל מוצר במנהל מוצר ESET בחברת קומסקיור: "עמודי CAPTCHA מזויפים הפכו בשנים האחרונות לשיטה מועדפת על תוקפים בשל המראה האמין שלהם והסתמכות המשתמשים על תהליך האימות המקוון. העלאת המודעות והקפדה על אמצעי זהירות הם כלים מרכזיים בהתמודדות עם האיום, כולל בדיקת ה-URL המלא של האתר ושל הדף".

הדוח ציין כי בחלק מהמקרים דפי CAPTCHA מזויפים מבקשים מהמשתמש להדביק פקודות לחלון מערכת, מה שמאפשר להפעיל כלים מובנים של Windows להורדת נוזקות נוספות. אחת מהן, Lumma Stealer, הדביקה עשרות מיליוני מכשירים ברחבי העולם עד לשיבוש פעילותה במבצע בינלאומי ב-2024.

הנזק חורג מההדבקה הראשונית: גניבת פרטי גישה יכולה להוביל לפריצה לחשבונות נוספים, דליפת מידע רגיש, פגיעה במוניטין ועלויות התאוששות גבוהות. נוזקות מתקדמות אף מסוגלות להישאר רדומות במערכות ולהופעל בשלב מאוחר יותר, מה שהופך את הגילוי למאתגר במיוחד.

המומחים מזכירים כי הגנה בסיסית יכולה לצמצם סיכונים: עדכון מערכות ההפעלה והדפדפנים, שימוש בתוכנות אבטחה אמינות, הימנעות מהורדת תוכנות לא חוקיות וחשדנות כלפי דפי CAPTCHA שקופצים בהקשרים לא צפויים. במקרה של הדבקה – ההמלצה היא לנתק מיד את המחשב מהרשת, להריץ סריקה מלאה, לשנות סיסמאות ולהפעיל אימות דו שלבי.

בסופו של דבר, דפי CAPTCHA מזויפים הם תזכורת לכך שגם מה שנראה לנו הכי שגרתי ברשת יכול להפוך לנקודת תורפה. התוקפים לא צריכים יותר מתמונה משכנעת או לחיצה אחת כדי לחדור למערכת. המפתח הוא לא להתרגל אלא לבדוק, לחשוד כשצריך, ולהקפיד על ההגנות הבסיסיות שמונעות מהמתקפות האלו להפוך לאסון.