Fałszywa CAPTCHA to dziś nie tylko internetowy trik, ale realny wektor infekcji malware. CERT Polska opisuje przypadek, w którym pojedyncze kliknięcie w rzekomą weryfikację „czy jesteś człowiekiem” stało się początkiem pełnego łańcucha ataku w dużej organizacji.
Na pierwszy rzut oka wszystko wygląda niewinnie. Użytkownik trafia na stronę, widzi znany komunikat o weryfikacji „czy jesteś człowiekiem” i klika checkbox. Zamiast zwykłej CAPTCHA uruchamia się jednak scenariusz, którego celem nie jest potwierdzenie obecności człowieka, lecz skłonienie ofiary do samodzielnego uruchomienia złośliwego polecenia w systemie Windows. To właśnie sedno kampanii określanych jako Fake CAPTCHA albo ClickFix.
W opisywanym przez CERT Polska schemacie ofiara jest instruowana, aby wykonać prostą sekwencję: Win+R, Ctrl+V, Enter. Problem polega na tym, że po wcześniejszym kliknięciu fałszywej weryfikacji zainfekowana strona umieszcza w schowku komendę przygotowaną przez atakujących. Użytkownik ma wrażenie, że rozwiązuje techniczny problem z weryfikacją, a w rzeczywistości sam uruchamia malware. CERT Polska wskazuje, że obserwuje coraz więcej takich ataków w Polsce.
To sprawia, że zagrożenie jest wyjątkowo podstępne. Nie ma tu klasycznego załącznika w mailu, nie ma też potrzeby wykorzystywania skomplikowanego exploita na komputerze ofiary. Cały mechanizm opiera się na socjotechnice i wykorzystaniu zaufania do dobrze znanych elementów interfejsu, takich jak CAPTCHA, logo popularnych usług czy pozornie rutynowe instrukcje. W praktyce oznacza to, że nawet ostrożny użytkownik może dać się oszukać, bo atak wygląda jak zwykły etap korzystania ze strony.
CERT Polska opisał realny incydent, w którym skutkiem takiego wejścia była aktywna infekcja w dużej polskiej organizacji. Według raportu pojedynczy zainfekowany komputer stał się punktem wejścia dla szerszego łańcucha ataku, pokazując, że pozornie drobny błąd użytkownika może zagrozić bezpieczeństwu całej firmy. W analizie wskazano również, że kampanie fake CAPTCHA mają charakter masowy i nie są wymierzone wyłącznie w konkretne podmioty.
Dodatkowego znaczenia temu tematowi nadaje lokalny przykład z marca 2026 roku. Sekurak opisał przypadek złośliwej CAPTCHA wyświetlanej na stronie gminy Długołęka. Tam również użytkownik był nakłaniany do wykonania polecenia przez okno „Uruchom” w Windowsie. To ważne przypomnienie, że zagrożenie nie dotyczy wyłącznie podejrzanych domen czy egzotycznych stron, ale może pojawić się także w miejscach, które z definicji wzbudzają większe zaufanie.
Właśnie dlatego ClickFix jest tak skuteczny. Atakujący nie muszą przekonywać ofiary do pobrania pliku z dziwnego źródła. Wystarczy, że przejmą stronę, osadzą złośliwy skrypt lub wykorzystają zaufanie do już istniejącej witryny. Gdy użytkownik widzi komunikat przypominający znane mechanizmy ochronne, łatwo uznaje go za część normalnego działania serwisu. A wtedy granica między „sprawdzam CAPTCHA” a „uruchamiam malware” praktycznie znika.
Z perspektywy bezpieczeństwa firmowego problem jest poważny także dlatego, że infekcja jednego stanowiska często nie kończy incydentu. Jeśli malware uzyska możliwość dalszej komunikacji z infrastrukturą atakującego, kradzieży danych, pobrania kolejnych komponentów albo ruchu bocznego w sieci, konsekwencje szybko przestają dotyczyć wyłącznie jednej osoby. CERT Polska opisał ten przypadek właśnie jako przykład pełnego łańcucha ataku, który zaczął się od jednego zwiedzionego użytkownika.
Ta historia pokazuje też szerszy problem współczesnego cyberbezpieczeństwa. Coraz częściej najgroźniejsze kampanie nie opierają się na „magicznych” technikach, lecz na prostym wykorzystaniu ludzkich nawyków. Użytkownik przyzwyczajony do klikania kolejnych ekranów, potwierdzania zgód i wykonywania instrukcji technicznych staje się łatwym celem, zwłaszcza gdy komunikat wygląda profesjonalnie i nie budzi od razu alarmu. Fake CAPTCHA jest tego podręcznikowym przykładem.
Jak ograniczyć ryzyko takiego ataku
Najważniejsza zasada jest prosta: żadna prawidłowa CAPTCHA nie wymaga uruchamiania poleceń w systemie. Jeżeli strona prosi użytkownika o naciśnięcie Win+R, wklejenie komendy lub uruchomienie PowerShella, to nie jest weryfikacja bezpieczeństwa, tylko próba infekcji. To powinno być dziś jednym z podstawowych komunikatów w szkoleniach awareness.
Po stronie organizacji potrzebne są również działania techniczne:
- blokowanie uruchamiania nieautoryzowanych skryptów i interpreterów,
- monitoring poleceń uruchamianych przez użytkowników,
- filtrowanie ruchu wychodzącego do podejrzanych domen,
- edukacja pracowników w zakresie oszustw wykorzystujących schowek i okno „Uruchom”,
- szybkie reagowanie na nietypowe zachowanie stron firmowych i publicznych.
CERT Polska podkreśla, że proaktywne threat hunting i szybka reakcja na wskaźniki kompromitacji pozwalają wcześniej wykrywać podobne incydenty.
Podsumowanie
Fake CAPTCHA to jeden z tych scenariuszy, które pokazują, jak mało potrzeba dziś do rozpoczęcia poważnego incydentu. Nie trzeba zero-daya ani spektakularnej luki. Wystarczy wiarygodnie wyglądający komunikat i użytkownik, który wykona trzy klawisze w złej kolejności. A gdy taki mechanizm pojawia się na zaufanej stronie albo staje się elementem masowej kampanii, ryzyko rośnie błyskawicznie. Przykłady opisane przez CERT Polska i Sekurak pokazują, że to nie jest teoria, tylko realny problem obecny już w Polsce.
Źródła
Materiał opracowano na podstawie analiz CERT Polska oraz publikacji Sekurak dotyczących kampanii fake CAPTCHA i technik ClickFix obserwowanych w Polsce.
