مع انتشار الإنترنت بين المستخدمين الأفراد، أصبحت اختبارات CAPTCHA أداةً لإثبات أننا بشر عند دخول مواقع إلكترونية معينة، لكن مؤخرًا وجد مجرمو الإنترنت طريقةً لاستغلالها. في ظل هذا الوضع الحساس، تحذر مايكروسوفت من انتشار ClickFix، وهي تقنية هندسة اجتماعية مصممة لخداع المستخدمين لحملهم على تشغيل أوامر خبيثة على أجهزتهم. الجانب الأكثر إثارة للقلق هو أن الهجوم لا يستغل أي ثغرات أمنية في نظام ويندوز، بل ينجح لأنه يخدع الضحية لحمله على تثبيت برامج ضارة بنفسه.لا تضغط أبدًا على مفتاحي Windows + R إذا طلب منك اختبار CAPTCHA ذلك، فهذه هي طريقة عمل خدعة ClickFix الخطيرة. كما توضح مايكروسوفت نفسها، ClickFix هي تقنية هندسة اجتماعية تستخدم عادةً اختبارات CAPTCHA مزيفة، أو أخطاءً تقنية مزعومة، أو حتى تنبيهات أمنية تبدو مشروعة. يعرض موقع إلكتروني يُستخدم كطعم تعليمات تبدو بريئة ويطلب منك تنفيذ خطوات يدوية، مثل الضغط على مفتاحي Windows + R معًا لفتح مربع حوار التشغيل، ولصق أمر، وتأكيد العملية. ومع ذلك، فهذه عملية احتيال معقدة للغاية: الهدف هو أن يقوم الضحية بتشغيل رمز خبيث على جهاز الكمبيوتر الخاص به، كل ذلك أثناء اعتقاده أنه يقوم بإكمال عملية التحقق من الهوية.
تؤكد الشركة أن نجاح ClickFix لا يعتمد على استغلال ثغرات نظام التشغيل، بل، كما هو الحال في العديد من عمليات الاحتيال الإلكتروني الأخرى، يستغل أضعف حلقة في السلسلة: المستخدم. فمن خلال التلاعب النفسي بالمستخدم، يتم خداعه لتنفيذ الأوامر الضارة طواعيةً دون أن يدرك ذلك إلا بعد فوات الأوان. ولجعل الخدعة أكثر إقناعًا، غالبًا ما يُقلّد المجرمون المظهر المرئي لخدمات معروفة لزيادة الشعور بالثقة وتقليل شكوك الضحية.
لهذه الأسباب، ينصح الخبراء بتوخي الحذر من أي موقع إلكتروني يطلب منك فتح مربع حوار "تشغيل" في نظام ويندوز، أو لصق أوامر، أو استخدام اختصارات لوحة المفاتيح كجزء من عملية تحقق مزعومة. قد يطلب منك اختبار CAPTCHA الحقيقي تحديد صور، أو حل اختبار حدة بصرية، أو وضع علامة في مربع، لكنه لن ينفذ أي أوامر على جهازك. في النهاية، يبقى المنطق السليم أفضل وسيلة للدفاع ضد هذه الهجمات: إذا طلب منك موقع إلكتروني الضغط على مفتاحي Windows + R لإثبات أنك إنسان، فهو لا يتحقق من هويتك، بل يطلب منك فتح الوصول إلى جهاز الكمبيوتر الخاص بك ومحتوياته.
No comments:
Post a Comment