Jebakan CAPTCHA Palsu

Jebakan CAPTCHA Palsu – Bot, program otomatis yang bergentayangan di internet, kini mendominasi lebih dari separuh lalu lintas internet.

Meskipun beberapa di antaranya, seperti perayap web Google, memiliki tujuan yang sah, hampir dua perlima dari bot tersebut dianggap berbahaya.

Kekuatan mereka dapat dimanfaatkan untuk berbagai tujuan jahat, mulai dari menyebarkan postingan media sosial provokatif, meluncurkan serangan penolakan layanan terdistribusi (DDoS), hingga membajak akun online menggunakan password yang sebelumnya telah bocor.

Jadi, ketika kita dihadapkan pada tantangan CAPTCHA, mekanisme yang umum digunakan situs web untuk menghalau bot, banyak dari kita yang tanpa ragu mengikuti instruksi dan mengekliknya.

Tujuannya tentu saja untuk menjaga bot tetap di luar, bukan? Sayangnya, tidak selalu demikian. Terkadang, halaman itu sendiri adalah palsu dan bisa menjebak Anda dalam masalah besar.

Inilah yang terjadi pada ClickFix, sebuah teknik rekayasa sosial yang akhir-akhir ini meramaikan lanskap ancaman siber. Dengan memanfaatkan gambar CAPTCHA palsu, ClickFix menyebarkan berbagai macam ancaman, termasuk infostealer, ransomware, remote access trojan (RAT), cryptominer, dan bahkan malware dari aktor ancaman yang berafiliasi dengan negara.

Mengapa Ancaman CAPTCHA Berhasil?

Ancaman CAPTCHA berhasil karena beberapa alasan:

1. Memanfaatkan Keakraban dan Kepercayaan: Ancaman ini mengeksploitasi keakraban kita dengan proses CAPTCHA dan kepercayaan kita pada CAPTCHA sebagai cara untuk menjaga dunia digital tetap aman.
2. Memanfaatkan Ketidaksabaran: Banyak dari kita tidak sabar saat menjelajah internet; kita hanya ingin mengakses konten yang kita cari, dan CAPTCHA menghalangi, sehingga kita lebih mungkin untuk mengikuti instruksinya.
3. Memanfaatkan Kebiasaan Verifikasi: Ancaman ini mengambil keuntungan dari fakta bahwa kita terbiasa mengklik melalui banyak langkah untuk memverifikasi diri kita secara online, misalnya saat membayar secara online.
4. Menyembunyikan Aktivitas Berbahaya: Ia menyembunyikan aktivitas berbahaya dari kita dan perangkat lunak keamanan kita, serta menggunakan alat Windows yang sah untuk tetap tidak terdeteksi.

Seperti Apa Bentuk Ancaman CAPTCHA?

Ada berbagai cara Anda dapat terpapar CAPTCHA berbahaya. Anda mungkin tertipu untuk mengklik tautan berbahaya dalam email phishing, pesan teks, atau pesan media sosial.

Berkat AI, ancaman ini semakin berkembang. AI generatif membantu pelaku untuk meningkatkan serangan rekayasa sosial sambil meningkatkan kualitas bahasa hingga hampir sempurna, dalam berbagai bahasa sekaligus.

Atau, Anda mungkin mengunjungi situs web sah yang telah disuntikkan iklan berbahaya atau konten lain oleh peretas. Ini sangat berbahaya karena tidak diperlukan interaksi pengguna untuk pengunduhan. Dan Anda mungkin tidak menyadari bahwa sesuatu yang tidak menyenangkan telah terjadi sampai semuanya terlambat.

Ketika kotak CAPTCHA muncul, itu akan terlihat cukup sah. Namun, apa yang diminta untuk Anda lakukan seharusnya membunyikan alarm.

Alih-alih tugas CAPTCHA biasa, seperti mengidentifikasi gambar serupa atau mengetik teks yang telah dikaburkan, ia akan meminta Anda untuk melakukan perintah tertentu seperti:

• Mengklik untuk memverifikasi bahwa Anda adalah manusia.
• Menekan tombol Windows + R untuk membuka “Run”.
• Menekan CTRL + V untuk menempelkan perintah yang diam-diam disalin ke clipboard oleh malware.
• Menekan ENTER untuk mengeksekusi perintah di atas.

Perintah ini sering kali memicu alat Windows yang sah seperti PowerShell atau mshta.exe untuk mengunduh payload berbahaya tambahan dari server eksternal. Tujuan akhirnya biasanya adalah menginstal malware infostealer di perangkat Anda.

Kerja Infostealer di Perangkat

Infostealer dirancang untuk mengais komputer atau ponsel untuk login, foto, kontak, dan data sensitif lainnya untuk dijual di dark web dan/atau digunakan untuk melakukan penipuan identitas.

Mereka menargetkan peramban, klien email, dompet kripto, aplikasi, dan sistem operasi itu sendiri untuk melakukannya, mengambil screenshot, merekam ketikan tombol (keylogging), dan mengumpulkan data dengan cara lain.

Menurut satu penelitian, setidaknya ada 23 juta korban infostealer pada tahun 2024, sebagian besar adalah sistem Windows. Mereka berhasil mencuri lebih dari dua miliar kredensial korban.

Salah satu jenis malware infostealing paling populer, Lumma Stealer, menyusupi sebanyak 10 juta perangkat sebelum upaya internasional, yang juga melibatkan ESET, mengganggu ancaman malware-as-a-service (MaaS) yang produktif ini.

Ancaman CAPTCHA juga dapat menginstal remote access trojan (RAT), jenis malware lain tetapi kali ini dirancang untuk menyediakan akses jarak jauh ke mesin Anda.

Menurut satu penelitian, AsyncRAT terlihat dalam 4% insiden selama tahun 2024. RAT ini telah beroperasi sejak 2019 dan melakukan aktivitas termasuk pencurian data dan keylogging.

Tetap Aman dari Ancaman CAPTCHA

Untuk tetap aman dariinfostealer, RAT, dan malware lainnya, pertimbangkan hal berikut:

• Waspada terhadap permintaan CAPTCHA yang tidak biasa seperti yang disebutkan di atas.
• Hati-hati terhadap tantangan CAPTCHA yang muncul begitu saja.
• Jaga OS dan perangkat lunak peramban Anda tetap terbarui, untuk meminimalkan risiko malware mengeksploitasi kerentanan dalam versi lama.
• Instal perangkat lunak keamanan dari vendor terkemuka dan selalu perbarui. Ini akan sangat membantu dalam memblokir malware atau aktivitas mencurigakan.
• Jangan mengunduh perangkat lunak bajakan, karena ini dapat mengandung malware yang menyajikan CAPTCHA palsu.
• Pertimbangkan untuk menggunakan pemblokir iklan, yang akan mencegah Anda terpapar konten apa pun yang dikirim melalui iklan online berbahaya.

Apa yang Terjadi Jika Anda Terjebak CAPTCHA Palsu?

Jika hal terburuk terjadi dan Anda secara tidak sengaja mengeksekusi perintah tersembunyi yang dijelaskan di atas:

• Jalankan pemindaian malware untuk menemukan dan membersihkan malware yang mungkin telah diunduh secara diam-diam.
• Putuskan sambungan dari internet dan cadangkan foto dan/atau file penting apa pun.
• Lakukan factory reset pada komputer atau perangkat Anda.
• Ubah semua password Anda, gunakan kredensial yang kuat dan unik yang disimpan dalam pengelola password.
• Aktifkan otentikasi multi-faktor (MFA) untuk semua akun, sehingga meskipun peretas telah mencuri password Anda, mereka tidak dapat mengakses akun Anda.

Terjebak oleh ancaman CAPTCHA bukanlah akhir dunia. Tetapi ada baiknya untuk bertindak cepat jika Anda menemukan diri Anda dalam skenario terburuk. Tetaplah aman di luar sana!

Apa yang Terjadi di Masa Depan

Panggilan spam tidak akan hilang dalam waktu dekat. Jika ada, mereka terus berkembang. Suara yang dihasilkan AI dan penipuan audio deepfake sudah mulai muncul, membuatnya semakin sulit untuk membedakan penipuan dari kenyataan.

Di sisi lain, kemajuan dalam machine learning dan analisis perilaku meningkatkan deteksi spam, memungkinkan sistem untuk mengidentifikasi pola perilaku penipuan.

Sementara itu, kemajuan teknologi, seperti nomor yang dipalsukan, autodialer otomatis, dan Voice over Internet Protocol (VoIP) murah, semakin meningkatkan skala masalah sambil mempersulit deteksinya.

Jenis ancaman ini juga siap untuk dipercepat oleh suara dan skrip yang dihasilkan AI. Sementara itu, penyedia telekomunikasi melawan dengan label ‘kemungkinan scam’, bot AI percakapan yang membuang waktu penipu, dan protokol sinyal canggih untuk mengonfirmasi keaslian penelepon.

Dalam dunia di mana panggilan penipuan menjadi semakin meyakinkan dari hari ke hari, alat paling ampuh yang Anda miliki adalah kemampuan untuk tetap terinformasi, skeptis, dan berhati-hati, serta berani menutup telepon.

Sumber berita:

WeLiveSecurity