點擊驗證碼竟然被盜個資 判斷是否詐騙看這一步

瀏覽網站時，點擊「我不是機器人」並辨識圖片以證明身分，對許多人而言已經是日常的一部分，但現在網路犯罪分子正利用此一人們熟悉的例行程序進行詐騙。Moneywise報導，全美各地出現一種新型詐騙手法，駭客利用偽造的驗證圖像竊取民眾的身分與財務資訊，和取得網站、加密貨幣錢包等平台的密碼。

據Security Boulevard報導，這是一種隱蔽的網路犯罪，因為受害者會在不知情下親自輸入指令安裝惡意軟體，一旦惡意軟體安裝完成，網路犯罪分子便能掌握電腦的控制權，甚至能將個人資料出售給他人。以下是在 Windows和 Mac上，所謂的「假驗證碼詐騙」（又稱為ClickFix 詐騙）的運作方式。

一切開始於進入某個網站時，出現「請驗證你是人類」或其他驗證碼（CAPTCHA）的提示，而接下來發生的事情，正是識別是否為詐騙的關鍵。

如果是詐騙，接著會跳出一則訊息，表示驗證碼系統發生錯誤，並要求使用者執行某些指令以解決問題。首先，頁面可能會要求使用者點擊「修復」或「如何修復」按鈕（這就是此詐騙手法別名「ClickFix」的由來）。不幸的是，點擊按鈕會將安裝惡意軟體的相關指令複製到剪貼簿中，但不會直接安裝，受害者在不知情下後續進行的動作就會把惡意軟體安裝到電腦上。

受害者點擊「修復」按鈕後，會得到一系列指令的引導，在Windows上可能是Win+R開啟Windows的執行（Run）對話方塊，再按下Ctrl+V貼上惡意軟體指令，然後按下Enter執行惡意軟體。在Mac上則可能是Command+Space開啟Spotlight，接著輸入「Terminal」並按Enter，這會開啟可以輸入指令的終端機，然後按下Command+V貼上惡意軟體指令，最後按下Return開始安裝並執行惡意軟體。由於受害者是自行安裝軟體，防毒軟體不一定會擋下惡意軟體入侵。

真正的驗證碼絕對不會要求使用者透過按鍵修復任何內容，所以如果後續收到點擊按鈕指示，請立即返回安全網站。如果不小心點擊「修復」按鈕，或已經執行指令時，身份竊盜資源中心（Identity Theft Resource Center）表示，建議立刻關閉 Wi-Fi或拔除網路線，以切斷網路連線，並切換到乾淨的裝置上變更重要帳號的密碼；如果已經安裝可信賴的防毒軟體，應在無網路連線的狀態下，對原始裝置進行掃描，但如果尚未安裝防毒軟體，建議將受感染的裝置交給專業人員進行掃描，過程中監控銀行和信用卡帳戶是否出現任何異常交易。

最好的防護措施就是保持警覺並主動防範，例如在電腦上安裝可信賴的防毒軟體，防止電腦遭到病毒感染，另一做法是在所有敏感帳戶上啟用多重驗證，這樣即使駭客取得密碼，也不一定能成功登入帳戶。