Sabia que os CAPTCHAs, estão agora a se usados para espalhar malware? A ESET alertou para o uso destes elementos para a criação de ameaças digitais. Saiba o que está a acontecer.
Os bots representam mais de metade de todo o tráfego da Internet e, embora alguns, como os web crawlers e fetchers da Google, tenham objetivos legítimos, quase dois quintos são considerados maliciosos. O seu poder pode ser aproveitado para tudo, desde a publicação de mensagens inflamatórias nas redes sociais até ao lançamento de ataques distribuídos de negação de serviço e ao sequestro de contas online utilizando, por exemplo, palavras-passe previamente violadas.
Assim, quando nos é apresentado o chamado desafio CAPTCHA, que os websites utilizam habitualmente para dissuadir os bots, muitos de nós seguem as instruções e clicam. É melhor para manter os bots afastados, certo? Bem, nem sempre. Por vezes, a própria página é falsa e pode colocar-nos em grandes sarilhos. A ESET, maior empresa europeia de cibersegurança, explica como funcionam estes CAPTCHAs falsos, e como se proteger deles.
Há várias formas de ser exposto a um CAPTCHA malicioso. Pode acontecer que seja induzido a clicar numa hiperligação maliciosa num email, SMS ou mensagem de rede social de phishing. Graças à IA, esta ameaça está a aumentar. A IA generativa está a ajudar os agentes de ameaças a escalar os ataques de engenharia social, melhorando a qualidade da linguagem até à quase perfeição, em várias línguas ao mesmo tempo.
Em alternativa, pode visitar um website aleatório, mas legítimo no qual os cibercriminosos injetaram anúncios maliciosos ou outros conteúdos. Estes são particularmente perigosos porque não é necessária qualquer interação do utilizador para o descarregamento. E o utilizador pode não se aperceber de que algo de estranho aconteceu até ser demasiado tarde.
Proteger-se das ameaças CAPTCHA
Para se proteger de infostealers, RATs e outras ameaças, considere o seguinte:
- Fique atento a pedidos de CAPTCHA invulgares;
- Tenha cuidado com qualquer desafio CAPTCHA que pareça surgir do nada;
- Mantenha o seu sistema operativo e navegador atualizados, para minimizar o risco de o malware explorar vulnerabilidades em versões mais antigas;
- Instale software de segurança de um fornecedor respeitável e mantenha-o atualizado. Isto ajudará muito a bloquear qualquer malware ou atividade suspeita;
- Não descarregue software pirata, uma vez que este pode conter malware do tipo que fornece CAPTCHAs falsos;
- Considere a utilização de um bloqueador de anúncios, que o impedirá de ser exposto a qualquer conteúdo fornecido através de um anúncio online malicioso.
O que fazer se cair num CAPTCHA falso
Se o pior acontecer e executar inadvertidamente os comandos ocultos de um CAPTCHA falso:
- Corra uma verificação de malware para encontrar e, com sorte, eliminar da máquina qualquer malware que possa ter sido descarregado secretamente;
- Desligue-se da Internet e faça backup de todas as fotografias e/ou ficheiros importantes;
- Efetue uma reposição de fábrica no seu computador ou dispositivo;
- Altere todas as suas palavras-passe, utilizando credenciais fortes e únicas armazenadas num gestor de palavras-passe;
- Ative a autenticação multifator (MFA) para todas as contas, para que, mesmo que um hacker tenha roubado as suas palavras-passe, não possa aceder às suas contas.