ZestBuy

ระวัง CAPTCHA ปลอมแบบใหม่ แค่กดคีย์ลัดก็โดนแฮกคอมได้

โปรไฟล์ Phanuphong.TPhanuphong.T05-26
ความสนใจการป้องกันแบบยุทธวิธี

ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ออกมาเตือนถึงการโจมตีรูปแบบใหม่ที่กำลังแพร่กระจายอย่างรวดเร็วในปี 2026 หลังแฮกเกอร์เริ่มใช้ “Fake CAPTCHA” หรือหน้า Verify ปลอม หลอกให้ผู้ใช้ติดตั้งมัลแวร์ลงคอมพิวเตอร์ด้วยตัวเองโดยไม่รู้ตัว

จุดที่อันตรายคือ การโจมตีครั้งนี้ไม่ได้ใช้ไฟล์ดาวน์โหลดแปลก ๆ หรืออีเมลฟิชชิงแบบเดิม แต่ใช้หน้า CAPTCHA ที่หน้าตาเหมือนระบบ “I’m not a robot” ของ Google หรือ Cloudflare เพื่อหลอกให้เหยื่อทำตามขั้นตอนบางอย่างบนคอมพิวเตอร์แทน

หลอกให้กด Windows + R ก่อนติดมัลแวร์

รูปแบบการโจมตีที่กำลังระบาดถูกเรียกว่า “ClickFix” โดยผู้ใช้จะเข้าเว็บไซต์ที่ดูปกติ จากนั้นจะมีหน้า CAPTCHA เด้งขึ้นมาพร้อมข้อความให้ “ยืนยันว่าเป็นมนุษย์” แต่แทนที่จะกดเลือกภาพหรือกดติ๊กถูก ระบบกลับสั่งให้ผู้ใช้กดคีย์ลัดบนคีย์บอร์ดแทน

ขั้นตอนที่แฮกเกอร์ใช้บ่อยคือ:

  • กด Windows + R

  • กด Ctrl + V

  • กด Enter

เบื้องหลัง หน้าเว็บจะคัดลอกคำสั่งอันตรายลง Clipboard ของเครื่องไว้ล่วงหน้า เมื่อผู้ใช้กด Paste และ Enter คำสั่งดังกล่าวจะถูกรันผ่านระบบ Windows Run ทันที ส่งผลให้มัลแวร์ถูกติดตั้งแบบเงียบ ๆ โดยแทบไม่มีการแจ้งเตือนใด ๆ

มัลแวร์สามารถขโมยรหัสผ่านและข้อมูลธนาคารได้

นักวิจัยด้านความปลอดภัยระบุว่า การโจมตีลักษณะนี้มักใช้มัลแวร์ประเภท Infostealer เช่น StealC หรือ Lumma Stealer ซึ่งถูกออกแบบมาสำหรับขโมยข้อมูลโดยเฉพาะ

ข้อมูลที่แฮกเกอร์พยายามดึงออกจากเครื่องมีทั้ง:

  • รหัสผ่านที่บันทึกใน Chrome หรือ Edge

  • Session Login ของเว็บไซต์ต่าง ๆ

  • ข้อมูลบัตรเครดิต

  • กระเป๋า Crypto Wallet

  • อีเมลและข้อมูลธนาคาร

จุดน่ากังวลคือ มัลแวร์บางตัวสามารถทำงานอยู่เบื้องหลังได้โดยที่ผู้ใช้ไม่รู้ตัวเป็นเวลาหลายวัน กว่าจะเริ่มพบว่าบัญชีถูกแฮกหรือเงินถูกขโมยออกไปแล้ว

ทำไมคนถึงหลงเชื่อได้ง่าย

ผู้เชี่ยวชาญมองว่า จุดแข็งของการโจมตีแบบ Fake CAPTCHA คือการใช้ “ความคุ้นเคย” ของผู้ใช้งานเป็นอาวุธ เพราะทุกวันนี้คนส่วนใหญ่เห็น CAPTCHA อยู่ตลอดเวลา จนแทบกดผ่านแบบอัตโนมัติโดยไม่ทันคิด

นอกจากนี้ หน้า CAPTCHA ปลอมยังถูกออกแบบให้เหมือนของจริงมาก ทั้งโลโก้ สี และข้อความ ทำให้หลายคนไม่ทันสังเกตว่ากำลังถูกหลอก

ต่างจากไวรัสยุคก่อนที่มักมี Pop-up แปลก ๆ หรือไฟล์น่าสงสัย การโจมตีแบบ ClickFix กลับใช้ “พฤติกรรมของผู้ใช้เอง” เป็นช่องทางหลัก จึงทำให้หลายระบบป้องกันตรวจจับได้ยากกว่าเดิม

วิธีสังเกต CAPTCHA ปลอม

ผู้เชี่ยวชาญย้ำว่า CAPTCHA จริงจะไม่มีวัน:

  • ขอให้เปิด Run Command

  • ขอให้กด Windows + R

  • ขอให้ Paste คำสั่ง

  • ขอให้เปิด PowerShell หรือ Terminal

หากเว็บไซต์ใดขอให้ทำขั้นตอนลักษณะนี้ ควรปิดหน้าเว็บทันที เพราะถือเป็นสัญญาณอันตรายชัดเจน

นอกจากนี้ ควรหลีกเลี่ยงเว็บไซต์ดาวน์โหลดเถื่อน เว็บสตรีมมิ่งผิดกฎหมาย หรือโฆษณาน่าสงสัย เพราะเป็นแหล่งที่มาของ Fake CAPTCHA จำนวนมากในช่วงที่ผ่านมา

ผู้เชี่ยวชาญเตือนว่าเป็นภัยไซเบอร์ที่โตเร็วที่สุดของปี 2026

หลายบริษัทด้าน Cybersecurity มองว่า ClickFix และ Fake CAPTCHA Scam กำลังกลายเป็นหนึ่งในรูปแบบโจมตีที่เติบโตเร็วที่สุดของปี 2026 เพราะไม่ต้องพึ่งช่องโหว่ระบบหรือไฟล์ไวรัสแบบเดิมอีกต่อไป แต่ใช้วิธีหลอกให้เหยื่อ “เปิดประตูเอง” แทน

แม้รูปแบบการโจมตีจะดูง่าย แต่กลับมีประสิทธิภาพสูงมาก เพราะผู้ใช้จำนวนมากยังไม่รู้ว่าการกดคีย์ลัดเพียงไม่กี่ครั้ง อาจเพียงพอให้แฮกเกอร์เข้าถึงข้อมูลสำคัญทั้งหมดบนคอมพิวเตอร์ได้แล้ว

ที่มา foxnews , ceei

ความคิดเห็น

ยังไม่มีความคิดเห็น

นโยบายความเป็นส่วนตัวข้อตกลงการใช้

ZestBuy รวบรวมดีลและลิงก์สินค้า ไม่ใช่ผู้จำหน่ายโดยตรง เครื่องหมายการค้าเป็นของเจ้าของสิทธิ์ ข้อมูลสินค้าใช้เพื่อการอ้างอิงเท่านั้น และความคิดเห็นเป็นของผู้ใช้งาน