CAPTCHA to mechanizm zabezpieczający stosowany na stronach internetowych i w aplikacjach, którego celem jest sprawdzenie, czy określoną czynność wykonuje człowiek, a nie automatyczny program komputerowy, czyli tzw. bot. Większość osób spotkała się z nim podczas logowania do serwisu internetowego, zakładania konta albo wysyłania formularza kontaktowego. Najczęściej przybiera on formę kliknięcia w pole obok napisu „Nie jestem robotem”, konieczności wskazania odpowiednich obrazków lub przepisania znaków widocznych na ekranie.
DO CZEGO SŁUŻY CAPTCHA
Sama nazwa CAPTCHA pochodzi od angielskiego zwrotu „Completely Automated Public Turing test to tell Computers and Humans Apart”. W praktyce jest to więc mechanizm pozwalający systemowi komputerowemu zweryfikować, czy użytkownikiem jest człowiek, czy bot. Odbywa się to poprzez wyświetlenie zadania, z którym osoba zazwyczaj radzi sobie bez większego problemu, natomiast automat może mieć trudności.
Głównym zadaniem CAPTCHA jest ochrona stron internetowych przed zautomatyzowanymi działaniami wykonywanymi masowo przez boty, prowadzącymi często do nadużyć, a nawet przestępstw. Rozwiązanie to ma utrudniać m. in. zakładanie fałszywych kont, rozsyłanie spamu, publikowanie automatycznych komentarzy czy próby logowania przy użyciu wykradzionych haseł.
Pierwsze wersje CAPTCHA były stosunkowo proste i opierały się głównie na przepisywaniu zniekształconego tekstu widocznego na obrazku. Dla człowieka odczytanie takich znaków było możliwe, natomiast ówczesne programy komputerowe miały duży problem z ich prawidłowym rozpoznaniem. Z biegiem czasu mechanizmy te zaczęły się rozwijać. Pojawiły się zadania polegające na wybieraniu określonych obiektów na zdjęciach, takich jak sygnalizacja świetlna, autobusy czy przejścia dla pieszych. W niektórych przypadkach użytkownik musi odsłuchać nagranie audio i przepisać usłyszane słowa. Celem takich rozwiązań było stworzenie zadania, które pozostanie stosunkowo proste dla człowieka, ale jednocześnie będzie trudne do wykonania przez automatyczne systemy.
„ZŁOŚLIWA” CAPTCHA
Choć CAPTCHA kojarzy się przede wszystkim z mechanizmem zwiększającym bezpieczeństwo, cyberprzestępcy coraz częściej wykorzystują ją również podczas swoich ataków.
Atak z wykorzystaniem rzekomego CAPTCHA zaczyna się wiarygodnie, ponieważ użytkownik widzi stronę przypominającą standardową weryfikację „Nie jestem robotem”. Po kliknięciu checkboxa pojawia się jednak nietypowa instrukcja nakazująca wykonanie określonych kombinacji klawiszy, najczęściej „WIN+R”, następnie „CTRL+V” i zatwierdzenie całości klawiszem Enter.
W rzeczywistości nie jest to weryfikacja użytkownika. Strona internetowa wcześniej automatycznie kopiuje do schowka złośliwe polecenie, najczęściej wykorzystujące PowerShell systemu Windows. Po użyciu kombinacji „WIN+R” otwierane jest okno „Uruchamianie”, a „CTRL+V” wkleja przygotowaną wcześniej komendę. W jej treści zwykle widoczna jest fraza „Nie jestem robotem”, aby całość wyglądała bardziej wiarygodnie i nie wzbudzała podejrzeń użytkownika. Naciśnięcie klawisza „Enter” powoduje wykonanie polecenia i może doprowadzić do pobrania złośliwego oprogramowania na komputer użytkownika.
Skutki takiego ataku mogą być bardzo poważne. Cyberprzestępcy mogą uzyskać dostęp do haseł zapisanych w przeglądarce, plików znajdujących się na dysku czy kont (np. w mediach społecznościowych). W skrajnych przypadkach możliwe jest przejęcie kontroli nad urządzeniem albo instalacja oprogramowania szyfrującego dane użytkownika.
Atak ten jest szczególnie niebezpieczny, ponieważ wykorzystuje przyzwyczajenia internautów. CAPTCHA od lat obecna jest na ogromnej liczbie stron internetowych, a użytkownicy napotykają coraz bardziej nietypowe sposoby „potwierdzania, że są człowiekiem”. Cyberprzestępcy wykorzystują więc zaufanie do znanego mechanizmu bezpieczeństwa.
JAK UCHRONIĆ SIĘ PRZED ZAGROŻENIEM
Warto pamiętać, że prawdziwa CAPTCHA służy wyłącznie do potwierdzenia, że użytkownik jest człowiekiem. Mechanizm ten nie powinien wymagać wykonywania dodatkowych czynności w systemie operacyjnym, otwierania okna „Uruchamianie”, wklejania komend ani pobierania jakichkolwiek plików. Jeżeli strona prosi o użycie skrótów takich jak „WIN+R”, „CTRL+V” czy uruchamianie PowerShella, należy to potraktować jako wyraźny sygnał ostrzegawczy.
Aby ograniczyć ryzyko takiego ataku, warto przede wszystkim zwracać uwagę na adres strony internetowej (URL) oraz unikać otwierania podejrzanych linków przesyłanych w wiadomościach e-mail, komunikatorach czy mediach społecznościowych. Należy również zachować ostrożność na stronach, które wyświetlają nietypowe instrukcje lub próbują wymusić wykonanie działań poza przeglądarką internetową.
Należy mieć przy tym świadomość, że fałszywa CAPTCHA może pojawić się nie tylko na spreparowanej witrynie, ale również na stronie internetowej działającego w dobrej wierze administratora, który nieświadomie wdrożył takie narzędzie. Z tego powodu obecność mechanizmu CAPTCHA nie powinna automatycznie wzbudzać zaufania użytkownika.