Mitä yritysjohdon tulisi tietää CAPTCHA-huijauksista?

CAPTCHA-phishing viittaa huijausmenetelmään, jossa hyökkääjät käyttävät hyödykseen CAPTCHA-testejä, paremmin tunnettuna ”En ole robotti” -varmennuksia.

Normaalisti CAPTCHA -testit ovat turvallisuustoimia, joiden avulla ihmiset pystytään erottelemaan boteista verkkopalveluissa, mutta teknologian edetessä rikolliset ovat alkaneet valjastaa niitä tietojen kalasteluun tai haittaohjelmien asentamiseen.

HP:n mukaan tämän ilmiön yleistymisen taustalla on se, että monivaiheiset todennukset ovat nykyään arkipäivää. Yritys kutsuu ilmiötä ”klikkaustoleranssiksi” eli ihmiset ovat tottuneet useampaan perättäiseen varmennusvaiheeseen.

Kyberturvallisuuskeskus kertoo, että hyökkäyksen alaisiksi joutuneita uhreja on houkuteltu verkkosivuilla tunnistautumisen yhteydessä suorittamaan haitallinen komento Windowsissa, jonka lopuksi haittaohjelma Lumma Stealer on asentunut uhrin tietokoneelle. He listaavat kolme tapaa, jolla haittaohjelmaa on ainakin levitetty:

Verkkosivuilla ilmestyneessä popup-mainoksessa
Hakukonetuloksia manipuloimalla esimerkiksi ohjelmistoja tai dokumenttia haettaessa
Sähköpostitse saapuvana GitHub-ilmoituksena

Teknisesti hyökkäys alkaa levitystavasta riippumatta aina pyynnöllä todentaa sivulla vierailevaa uhria olemaan aito käyttäjä. Todennus mukailee aitoa CAPTCHA-varmennusta. Painaessa ”En ole robotti” -painiketta sivustolla oleva JavaScript-koodi aktivoituu ja uhrin koneen leikepöydälle kopioituu haitallinen PowerShell-komento. Tämän jälkeen käyttäjää pyydetään avaamaan Windowsin suoritusikkuna ja liittämään haitallinen komento avautuvaan ikkunaan. Viimeinen vaihe pyytää käyttäjää suorittamaan avautuvan komennon, joka ei näy kokonaisuudessaan käyttäjälle vaan todellisuudessa lataa Lumma Stealer -haittaohjelman käyttäjän koneelle.

Kuvassa on esimerkki CAPTCHA-hyökkäyksen aikana ruudulle tulevista ilmoituksista
*Kuva on luotu tekoälyn avulla.*

Tämä haittaohjelma varastaa käyttäjien verkkoselaimista kirjautumistietoja, verkkopalveluihin todentamiseen käytettäviä evästeitä sekä selaushistoriaa. Lumma Stealer -haittaohjelma pystyy myös varastamaan laitteelta löytyviä kryptolompakoita sekä tiedostoja.

Miten pystyt tunnistamaan CAPTCHA-kalasteluyritykset?

Jos verkkosivusto pyytää CAPTCHA-varmennusta yllättävässä tilanteessa, esimerkiksi kesken uutisartikkelin lukemisen tai tiedoston lataamisen sivulta, joka ei normaalisti vaadi tunnistautumista, on syytä olla varuillaan. Lailliset CAPTCHA-testit esiintyvät yleensä kirjautumis-, rekisteröitymis- tai maksutilanteissa, eivät satunnaisesti kesken selaamisen. Myös varmennussivun antamat oudot ohjeet, kuten kehotus suorittaa järjestelmäkomentoja (esim. painaa Win+R ja liittää tekstiä), viittaavat lähes aina huijaukseen.

Samoin CAPTCHA, joka päättyy odottamattomaan toimintaan, kuten tiedoston latautumiseen tai komentokehotteen avautumiseen, tulee keskeyttää välittömästi.

Käyttäjien tulisi myös aina varmistaa selaimen URL-osoite, jos heitä pyydetään ylimääräisiin varmennuksiin kesken selailun. Hyökkääjät voivat käyttää osoitteita, jotka muistuttavat tunnettuja sivustoja mutta sisältävät pieniä muunnoksia, vaikkapa eri domain-päätteen.

Lisäksi, jos CAPTCHA-varmennuksen jälkeen selain varoittaa leikepöydän käytöstä, on syytä olla varuillaan. Nykyaikaiset selaimet eivät salli sisällön kopioimista leikepöydälle ilman käyttäjän lupaa ja tämä voi viitata siihen, että hyökkäys on käynnissä ja sivusto yrittää ujuttaa komentoja huomaamatta.

Miten pystyt suojautumaa CAPTCHA-hyökkäyksiltä?

Älä koskaan suorita epäilyttäviä komentokehotuksia.
Jos olet verkkosivulla, joka pyytää sinua suorittamaan komentoja Windowsin Suorita-ikkunassa tai komentorivillä, ole tarkkana. Kyseessä on todennäköisesti huijausyritys. Sulje sivu välittömästi ja ilmoita asiasta IT-tukeen.
Pidä laitteesi päivitettyinä ja suojattuina.
Suojaa laitteesi pitämällä käyttöjärjestelmä ja ohjelmistot ajan tasalla sekä varmistamalla, että virustorjunta toimii. Käytössäsi on myös yritystason suojaustyökaluja, jotka tunnistavat epäilyttävät skriptit ja estävät tuntemattomien ohjelmien toiminnan.
Hyödynnä käyttäjäkoulutusta
Tietoturva ei kuitenkaan ole pelkkää teknologiaa, vaan henkilöstösi on yrityksesi tärkein puolustusverkko. Tarjoammekin monipuolisia palveluita käyttäjäkoulutukseen, kuten räätälöityjä koulutuksia ja käytännön esimerkkejä, joiden avulla henkilöstösi oppii tunnistamaan sosiaalisen manipuloinnin ja suhtautumaan kriittisesti yllättäviin varmennuspyyntöihin. Koulutuksen avulla vältät tilanteet, joissa huijaussivut yrittävät ohjata toimintaasi ruudulla annettujen ohjeiden avulla.
Ole matalalla kynnyksellä yhteydessä IT-tukeen
Voit esimerkiksi ottaa ruutukaappauksen ja lähettää sen IT-tukeen jatkoanalyysiä varten. Voit olla meihin yhteydessä helposti soittamalla numeroon 097 288 588, laittamalla sähköpostia osoitteeseen helpdesk@vetonaula.fi tai jättämällä tukipyynnön asiakasportaalin kautta. Nopealla ilmoituksella voidaan estää lisävahingot ja varoittaa muita käyttäjiä ajoissa.

Yhteenveto

CAPTCHA-phishing on nopeasti yleistyvä huijausmenetelmä, jossa tutun näköisiä varmennuksia käytetään haittaohjelmien levittämiseen ja tietojen kalasteluun. Hyökkäykset voivat näyttää harmittomilta, mutta niiden taustalla voi piillä vakava uhka, kuten Lumma Stealer -haittaohjelma. Tunnistamalla epäilyttävät tilanteet, kuten CAPTCHA-pyynnöt yllättävissä yhteyksissä, oudot komento-ohjeet tai selaimen varoitukset, voit suojautua tehokkaasti. Muista pitää laitteesi ajan tasalla, hyödyntää saatavilla olevia koulutuspalveluita ja olla matalalla kynnyksellä yhteydessä IT-tukeen. Yhdessä voimme estää huijaukset ajoissa ja turvata digitaalisen arkemme.