Menghadapi CAPTCHA setiap kali mengakses situs tentu menyebalkan. Namun kali ini, mengikuti proses autentikasi tidak hanya sekedar menyebalkan, terutama jika pengguna terkena jebakan CAPTCHA palsu.
Saat ini, memang sudah banyak jenis CAPTCHA yang beredar. Mulai dari CAPTCHA verification code, text-based CAPTCHA, puzzle CAPTCHA, hingga yang simpel yaitu checkbox CAPTCHA dengan tulisan “I’m not a robot”.
Namun berbeda dengan jenis-jenis CAPTCHA di atas, yang versi palsu ini dapat mencuri data korban seperti username dan password. Pelajari seperti apa CAPTCHA ini, dan bagaimana cara menghindarinya.
Apa itu CAPTCHA Palsu?
Sesuai namanya, CAPTCHA palsu adalah penipuan atau online fraud yang menggunakan CAPTCHA untuk mencuri data korban. Versi palsu ini mengincar data korban melalui browser yang dipakai di Windows.
Sebagai informasi, CAPTCHA adalah tes untuk memastikan yang merespons adalah manusia, dengan tujuan untuk mendeteksi bot. Jadi berbeda tujuannya jika dibandingkan dengan CAPTCHA versi palsu ini.
Berdasarkan penelitian dari Netspoke Threat Labs, kampanye menggunakan CAPTCHA imitasi ini memakai malware dengan nama Lumma Stealer. Malware yang sudah eksis sejak 2022 ini juga sempat disisipkan ke software bajakan dan link CDN untuk aplikasi Discord.
Dengan CAPTCHA yang palsu, pelaku dapat menyisipkan malware ini ke korban yang mengikuti tes tersebut. Korban mungkin atau tidak mungkin, menyadari jika data-data dan akun mereka baru saja diretas.
Cara Kerja CAPTCHA Palsu dalam Mencuri Kata Sandi
Tadi itu menjelaskan tentang CAPTCHA versi palsu, yang sebenarnya adalah Lumma Stealer. Namun, bagaimana tes yang kelihatannya aman ini dapat menjebak korban? Berikut cara kerjanya:
- Setelah mengembangkan skema CAPTCHA versi palsu ini, pelaku akan membagikannya dalam bentuk link. CAPTCHA akan terbentuk menggunakan CAPTCHA generator.
- Korban lalu akan mengklik link ini yang menuju ke halaman berisi CAPTCHA versi palsu. Dalam situs ini, akan muncul CAPTCHA yang tampaknya aman-aman saja untuk diikuti.
- Saat korban mengklik kotak centang, akan muncul pop-up instruksi yang perlu diikuti. Mula-mula korban akan disuruh menekan shortcut Win + R untuk membuka kotak Run.
- Selanjutnya, korban diminta untuk mengklik Ctrl + V ke kolom tersebut. Nanti akan muncul script “mshta” yang sudah disalin dari browser dengan fitur clipboard.
- Jika korban sempat mengklik Enter, maka Windows akan mengunduh file HTA (aplikasi HTML) untuk mengeksekusi perintah. Proses ini dilakukan agar malware dapat melewati proteksi dari browser.
- Setelah itu, file ini akan disembunyikan agar tidak terdeteksi. Lalu, Powershell command akan diunduh, untuk menghindari Windows Antimalware Scan Interface.
- Terakhir, baru Lumma Stealer akan dapat masuk ke komputer korban dan dapat dieksekusi. Malware ini akan mengambil username dan password akun media sosial, messenger, hingga aset kripto yang terdeteksi.
Ciri-Ciri CAPTCHA Palsu yang Harus Diperhatikan
Meski terdengar mengerikan, CAPTCHA versi palsu ini sebenarnya cukup berbeda dengan yang asli, sehingga mudah diketahui. Namun untuk memastikan, berikut ciri-ciri dari sebuah CAPTCHA yang palsu:
Instruksi CAPTCHA yang Mencurigakan
Untuk yang pertama bisa dilihat seperti apa instruksinya. Hanya CAPTCHA versi palsu saja yang mengharuskan pengguna untuk mengikuti intruksi yang panjang, bahkan sampai harus membuka kotak Run di Windows.
Berbeda dengan yang palsu, CAPTCHA asli—tergantung jenisnya—lebih simpel dan tidak memerlukan aktivitas di luar browser. Pengguna hanya perlu menjawab tes dengan benar, dan jika benar, maka tes dinyatakan sukses.
Asal Usul CAPTCHA dari Link
CAPTCHA versi palsu ini cenderung diberikan melalui link, terutama untuk download file. Adapun sumber link ini dapat berasal dari kiriman orang di aplikasi messenger seperti Telegram, atau dari server di aplikasi Discord.
Sementara pada CAPTCHA asli, hanya muncul sebagai konfirmasi akses ke situs, atau konfirmasi dari aktivitas. CAPTCHA pada dasarnya hanya dipakai sebagai tes bot, sehingga hanya muncul jika pengguna sedang melakukan aktivitas di situs tersebut.
Desain CAPTCHA yang Monoton
Saat ini, CAPTCHA palsu hanya memakai jenis checkbox dengan tulisan “I’m not a robot”. Jadi, jenis CAPTCHA lain seperti CAPTCHA code atau puzzle CAPTCHA tidak muncul di layar situs tersebut.
CAPTCHA asli juga memiliki bentuk desain yang lebih bagus dan tertata, dengan gambar yang buram untuk mengelabui bot. Karena itu, versi yang palsu hanya bisa pada CAPTCHA yang berbentuk checkbox saja.
Dampak dari Pencurian Kata Sandi melalui CAPTCHA Palsu
Mengikuti instruksi fake CAPTCHA artinya pengguna akan menerima konsekuensi dari kata sandi yang tercuri, dan bahkan, dampaknya sampai ke bisnis. Kira-kira apa saja dampak yang dirasakan dari pencurian kata sandi?
Hilangnya Akses ke Akun
Yang paling terkena dampaknya adalah kehilangan akses akun, karena pelaku dapat langsung mengubah kata sandi akun yang baru. Terutama karena korban tidak menyadari jika akun mereka sedang diretas dengan segera.
Dengan mendapatkan kata sandi, pelaku dapat mengubah kredensial akun milik korban. Akan sangat sulit buat korban untuk mengambil alih akses akun tersebut, apabila jika korban tidak bisa membuktikan jika akun itu merupakan miliknya.
Baca Juga: Optimalkan Keamanan dengan Kolaborasi OTP dan e-KYC
Kerugian secara Finansial
Bagaimana jika salah satu akun yang diretas adalah akun digital banking, atau akun dengan aset kripto? Maka logisnya, korban juga akan mengalami kerugian secara finansial, dan nominalnya tentu tidak akan sedikit.
Untuk akun bank yang diretas, masih ada cara bagi korban untuk melaporkan terkait masalah ini. Namun, bagaimana dengan aset kripto? Akan lebih sulit bagi pihak berwajib untuk melacak pelaku yang mengambil aset kripto korban.
Penyalahgunaan Data Pribadi
Seperti yang dijelaskan di atas, kata sandi akun media sosial dan messenger juga dapat dicuri oleh Lumma Stealer. Ini berarti pelaku dapat mengakses data apa saja yang ada pada akun milik korban.
Ada berbagai skenario yang terjadi jika akun media sosial dan messenger diretas oleh kriminal siber, seperti:
- Menjual data korban dalam akun ke dark web untuk mendapat keuntungan.
- Menggunakan akun untuk menyebarkan link CAPTCHA palsu, sehingga nama korban yang menjadi tercoreng.
- Menyebarkan data pribadi yang ada dalam akun untuk menjatuhkan nama korban.
Kerugian pada Bisnis dan Organisasi
Siapa sangka, jika bisnis pun juga dapat terkena dampak dari skema ini. Sebagai contoh, aplikasi Discord dapat mengeluarkan pop-up CAPTCHA sebagai konfirmasi jika pengguna menambahkan teman baru.
Kabar buruk mengenai CAPTCHA imitasi ini, dapat membuat pengguna Discord menjadi takut dan enggan untuk menggunakan aplikasi tersebut. Hal ini juga berdampak pada bisnis lain yang menggunakan sistem CAPTCHA sebagai metode autentikasi.
Solusi Menghindari CAPTCHA Palsu
Lantas, apa ada cara efektif untuk menghindari ancaman CAPTCHA versi palsu ini? Sebenarnya, pengguna hanya perlu berhati-hati saat membuka link, dan hindari CAPTCHA yang meminta untuk menekan shortcut Win + R.
Bagi pengguna Windows 11, taktik fraud ini bisa diatasi dengan mengakses fitur di Window Security. Caranya adalah dengan membuka menu “App & browser control”, klik “Reputation-based protection settings”, dan aktifkan “Phishing protection”.
Sementara untuk bisnis dan organisasi, berikan edukasi kepada pelanggan/pengguna tentang CAPTCHA ini. Dengan begitu, semakin banyak orang yang dapat terhindar dari Lumma Stealer berkedok CAPTCHA ini.
Ancaman CAPTCHA palsu memang terdengar berbahaya, namun tidak seseram yang dipikirkan. Selama orang tahu apa bedanya dengan yang asli, dan tahu cara menghindarinya, maka aktivitas browsing akan tetap aman.
