Нажал «Я не робот» - потерял всё. Новая схема, о которой молчат банки...
Мой приятель - человек совсем не глупый, программист с 15-летним стажем - неделю назад лишился доступа к рабочему компьютеру. Причина? Нажал на стандартную капчу. Ту самую, с галочкой «Я не робот». Он уверял меня, что всё выглядело абсолютно нормально. Обычный сайт, знакомый интерфейс. И тридцать секунд невнимательности - всё.
Объясняю, что происходит, и почему это не фишинг из 2000-х.
Что такое ClickFix и почему это не обычный вирус
Техника ClickFix - это попытка злоумышленников выполнить вредоносную команду на компьютере жертвы, полагаясь исключительно на приёмы социальной инженерии. Злоумышленники под тем или иным предлогом убеждают пользователя скопировать длинную строку - в большинстве случаев это скрипт PowerShell - вставить её в окно запуска программы и нажать Enter.
Ключевое слово здесь - «убеждают». Никакой скачанной программы. Никакого подозрительного файла. Пользователь сам, своими руками, запускает вредоносный код. И именно это делает схему такой опасной - антивирус видит, что команду запустил хозяин компьютера, и молчит.
Как выглядит атака изнутри
Вы заходите на сайт - новостной, торрент, любой. Неожиданно появляется предупреждение: страница некорректно отображается, произошла ошибка в браузере или требуется обновление. На экране появляется кнопка - «Исправить», «Проверить» или «Обновить». При её появлении в буфер обмена незаметно копируется вредоносный код - причём автоматически, даже до того, как вы куда-то нажали.
А дальше - капча. Знакомый белый квадрат, галочка, надпись «Я не робот». После нажатия сайт просит выполнить несколько дополнительных шагов якобы для проверки: нажать комбинацию клавиш Win+R, вставить «код подтверждения» через Ctrl+V и нажать Enter.
На самом деле сайт использует JavaScript для копирования вредоносной команды в буфер обмена.
Подождите - то есть человек сам открывает командную строку Windows и сам вставляет туда код, который пришёл с сайта? Именно так. И именно поэтому банки не могут защитить вас от этого. Потому что с технической точки зрения - это сделали вы.
Что происходит после нажатия Enter
Код запускал вредоносную программу, скопированную в буфер при нажатии на фейковую капчу. Win+R открывало окно Run, Ctrl+V вставляло в него скрипт из буфера обмена, а нажатие Enter запускало его.
Обнаруженная при таких атаках программа сначала отправляла злоумышленникам базовую информацию о системе - имя пользователя, его права, версию ОС, - а затем предоставляла им возможность выполнять на устройстве жертвы любые команды и запускать любые процессы.
Проще говоря - мошенник получает полный контроль над компьютером. Пароли, доступ к банкингу, рабочие файлы, история браузера. Всё.
В мае 2025 года специалисты BI.ZONE Threat Intelligence зафиксировали не менее двух кампаний, в ходе которых злоумышленники использовали такую технику против российских организаций, и от этих атак пострадали около 30 российских организаций. Это только задокументированные случаи по компаниям. Частных жертв никто не считает.
Как отличить настоящую капчу от фейковой
Вот конкретные признаки подделки, которые я проверил лично на нескольких тестовых сайтах:
Настоящая капча никогда не попросит вас выполнять команды на вашем компьютере. Если система проверки требует нажать комбинации клавиш Win+R или запустить что-либо через командную строку - это мошенничество. Легитимные проверки ограничиваются действиями внутри веб-страницы: выбором картинок, вводом текста или простыми кликами мышью.
Запомните это правило как аксиому. Настоящая Google reCAPTCHA не знает о существовании командной строки вашего компьютера. Никогда.
Второй признак - просьба «скопировать код подтверждения». Никакого кода подтверждения при проверке на робота не существует. Это просто набор слов, который звучит убедительно.
Третий - срочность. «Подтвердите прямо сейчас, иначе доступ будет заблокирован». Давление на скорость принятия решений - классический инструмент любого мошенника, цифрового или нет.
Что делать, если уже нажали
Немедленно - отключить интернет. Физически, кабель из роутера или выключить Wi-Fi. Это прерывает соединение между мошенником и вашим компьютером.
Потом - смена паролей со стороннего устройства: телефона, планшета, чужого компьютера. В первую очередь банковские приложения и почта.
После - антивирусная проверка или, если есть подозрение что доступ уже получен, полный сброс системы. Не пытайтесь «просто удалить подозрительный файл» - вы не найдёте его руками.
И да - банк нужно предупредить сразу. Не потому что они помогут вернуть деньги быстро, а потому что это зафиксирует дату инцидента. Это важно для разбирательств.
Покажите эту статью тем, кто старше 50 - они чаще других сталкиваются с такими схемами, потому что доверяют привычным интерфейсам. Капча за последние 10 лет стала настолько обычной вещью, что мы перестали её замечать. Мошенники это знают. Теперь знаете и вы.