Нажал «я не робот» — и потерял всё: новая схема мошенников, о которой почти никто не знает

• Интернет
• Мошенничество
• Новости России

• 07:07 30 апреля
• Лидия Новикова

Фото: ПроГород

Знакомая ситуация: вы заходите на привычный сайт — тот, который посещали много раз, доверяли ему, находили там нужные новости, рецепты или советы. Всё выглядит как обычно, но вдруг появляется окно с капчей: серый фон, знакомый логотип, галочка «я не робот». Вы привычно нажимаете на неё — и ничего не происходит. Вы закрываете вкладку и забываете об этом. Но спустя несколько часов начинаются странные события: с вашего счёта уходят деньги, поступают звонки из банка, а неизвестные сайты запрашивают личные данные.

Как такое возможно? Разберёмся, в чём суть новой мошеннической схемы, о которой предупредил пресейл‑инженер компании «Спикател» Денис Ушаков.

Как работает схема?

Мошенники больше не создают поддельные сайты с нуля — это уже слишком заметно для пользователей. Вместо этого они взламывают существующие ресурсы, которые годами пользовались доверием аудитории. Вы могли посещать такой сайт регулярно, не ожидая подвоха.

После взлома на странице появляется окно с капчей, визуально неотличимое от привычных проверок Cloudflare или Google reCAPTCHA. Вы нажимаете «подтвердить», и в этот момент в буфер обмена вашего устройства автоматически копируется скрытая команда — вы её не видите. Затем сайт предлагает «для завершения проверки» открыть системное окно Windows и вставить текст из буфера.

Именно здесь и кроется ловушка. После нажатия Enter на устройстве запускается вредоносный скрипт, который начинает действовать незаметно.

Почему эта схема так эффективна?

Всё дело в привычке. Мы настолько привыкли к капчам, что воспринимаем их как рутину: увидели галочку — кликнули — пошли дальше. Мошенники умело используют этот рефлекс. Они не просят назвать код из СМС и не уговаривают перевести деньги незнакомцу. Они встраиваются в привычное действие, которое мы совершаем на автопилоте.

Важно запомнить: настоящая капча никогда не требует запускать скрипты или команды на устройстве. Если после нажатия галочки сайт просит вставить текст в командную строку или открыть системное окно — это однозначный признак атаки. В таком случае нужно немедленно закрыть вкладку.

Что делает вредоносная программа?

После запуска скрипт начинает искать уязвимости. Чаще всего его цели таковы:

• Сохранённые пароли в браузере.

• Куки‑сессии — небольшие файлы, позволяющие оставаться залогиненным на сайтах. Получив их, злоумышленник может войти в аккаунт без пароля, и двухфакторная авторизация тут не поможет.

• Данные банковских карт, если они сохранены в браузере.

• Доступ к мессенджерам, установленным на том же устройстве.

На смартфонах с Android схема работает иначе: запустить системную команду через браузер сложнее, поэтому взломанные мобильные версии сайтов чаще перенаправляют на скачивание «обновления браузера» или «приложения для проверки» — это тоже мошенничество.

Как распознать взломанный сайт?

Внешне такой ресурс может выглядеть нормально, но есть несколько тревожных признаков:

• Капча появляется сразу при входе на сайт, ещё до каких‑либо действий. Обычно она возникает при регистрации, отправке формы или частых запросах.

• После нажатия галочки страница просит выполнить действия вне браузера — это главный сигнал опасности.

• Адресная строка показывает правильный URL, но что‑то кажется непривычным: другой шрифт, иное расположение элементов, серый фон на весь экран.

Если возникли сомнения — не нажимайте ничего, закройте вкладку и зайдите на сайт позже.

Параллельная угроза: звонки от имени налоговой

Одновременно с онлайн‑мошенничеством активизировались и телефонные аферисты. Эксперты компании Angara Security предупреждают о новой волне звонков: злоумышленники представляются сотрудниками центрального аппарата ФНС. Они называют имя, отчество, иногда ИНН и сообщают, что идёт проверка счетов, обнаружены нарушения, и для их устранения нужно срочно перевести деньги на «защищённый счёт».

Запомните: ФНС никогда не требует денег по телефону. Если поступил такой звонок, положите трубку. При необходимости перезвоните в налоговую самостоятельно по номеру с официального сайта nalog.ru.

Пять шагов для защиты прямо сейчас

1. Уберите сохранённые пароли из браузера. Отключите функцию сохранения паролей в браузере и используйте отдельный менеджер паролей — он работает офлайн и бесплатен.

2. Не сохраняйте данные карты в браузере. Лучше вводить номер карты каждый раз заново, чем рисковать утечкой.

3. Включите двухфакторную аутентификацию везде, где это возможно — особенно на Госуслугах, в банковских приложениях и почте.

4. Обновите операционную систему и браузер. Большинство вредоносных скриптов используют известные уязвимости, которые уже закрыты в обновлениях.

5. Установите блокировщик рекламы. Он бесплатно блокирует многие вредоносные скрипты, даже если сайт взломан.

Что делать, если вы уже выполнили команду?

Если есть подозрение, что вы стали жертвой схемы:

• Отключите устройство от интернета (отсоедините кабель или отключите Wi‑Fi) — это прервёт возможную передачу данных.

• С другого устройства замените пароли во всех важных аккаунтах (начиная с почты).

• Позвоните в банк и сообщите о возможной компрометации данных — они могут заблокировать онлайн‑операции или выпустить новую карту.

• На скомпрометированном компьютере запустите проверку антивирусом , пишет автор дзен-канала Pochinka_blog.