Trong bối cảnh thế giới số ngày càng phức tạp với vô vàn mối đe dọa như mã độc, lừa đảo email, tin nhắn rác và rò rỉ dữ liệu, việc bảo vệ thông tin cá nhân và thiết bị trở nên cấp thiết hơn bao giờ hết. Ngay cả những công cụ quen thuộc như CAPTCHA, vốn được thiết kế để phân biệt người dùng thật với bot nhằm ngăn chặn quá tải website, cũng đang bị tin tặc lợi dụng. Gần đây, một hình thức tấn công mới đã xuất hiện: CAPTCHA giả mạo, lừa người dùng tự cài đặt mã độc vào máy tính của họ. Điều này đặt ra một thách thức nghiêm trọng về an ninh mạng, buộc chúng ta phải cảnh giác cao độ hơn với những tương tác tưởng chừng vô hại trên internet.
CAPTCHA Có Thể Cài Mã Độc Như Thế Nào?
Thực tế, bản thân các CAPTCHA độc hại không thể trực tiếp cài đặt mã độc vào hệ thống. Tuy nhiên, chúng lại khai thác sự quen thuộc của người dùng với việc hoàn thành các bước kiểm tra để lừa bạn tự tay thực hiện việc này. Thay vì hiển thị một câu đố hình ảnh hay văn bản thông thường, CAPTCHA giả mạo sẽ yêu cầu bạn “thực hiện theo các bước” để xác minh.
Thông thường, quá trình này bao gồm ba hành động chính mà kẻ tấn công muốn bạn làm:
- Sao chép một lệnh vào clipboard: Đôi khi hành động này có thể được thực hiện tự động mà bạn không hề hay biết.
- Mở cửa sổ Run bằng cách nhấn tổ hợp phím Windows+R.
- Nhấn Ctrl+V để dán lệnh đã sao chép và sau đó nhấn Enter để thực thi lệnh đó.
Nếu bạn chỉ đơn thuần làm theo hướng dẫn của CAPTCHA một cách tự động (điều mà rất nhiều người dùng đã từng làm), bạn có thể sẽ không đặt quá nhiều câu hỏi. Và nếu bạn không hiểu rõ chức năng của tổ hợp phím Windows+R, bạn có thể không nhận ra mối nguy hiểm tiềm tàng. Dưới đây là cách thức mà phương pháp này hoạt động để chống lại bạn.
Tổ Hợp Phím Windows+R Làm Gì và Nguy Hiểm Ra Sao?
Tổ hợp phím nóng Windows+R sẽ mở cửa sổ Run. Cửa sổ Run tương tự như cửa sổ Command Prompt (CMD) nhưng hạn chế hơn và không có tính tương tác. Tuy nhiên, bạn hoàn toàn có thể chạy các chương trình và truyền các lệnh cho chúng từ cửa sổ này. Kẻ tấn công lợi dụng điều này bằng cách lừa nạn nhân sao chép một đoạn script nhỏ vào cửa sổ Run. Đoạn script đó thường sẽ tải xuống mã độc từ internet thông qua PowerShell và một số ứng dụng gốc của Windows. Đây là một lỗ hổng an ninh mạng nghiêm trọng nếu người dùng không cẩn trọng.
Để minh họa cách thức hoạt động của phương pháp này mà không gây hại, chúng tôi sẽ cung cấp một ví dụ đơn giản, chỉ mở cửa sổ Thông tin Hệ thống (System Information). Bạn hãy nhấn Windows+R, sau đó dán dòng lệnh sau và nhấn Enter:
powershell -Command "start msinfo32"Bạn sẽ thấy một cửa sổ tương tự như hình ảnh dưới đây xuất hiện:
Cửa sổ Thông tin Hệ thống (System Information) sau khi chạy lệnh msinfo32
Phương pháp tương tự có thể được sử dụng để tải xuống mã độc, thực thi các script độc hại hoặc gây ra nhiều vấn đề khác cho máy tính của bạn. Để tăng thêm mức độ nguy hiểm, lệnh độc hại thường được mã hóa (obfuscated), khiến bạn không thể dễ dàng nhận biết được nó đang làm gì chỉ bằng cách đọc qua. Điều này làm cho việc phát hiện và phòng tránh CAPTCHA độc hại trở nên khó khăn hơn.
Cách Bạn Tự Bảo Vệ Mình Khỏi CAPTCHA Độc Hại
Như ông bà ta thường nói, “phòng bệnh hơn chữa bệnh”. Nếu một CAPTCHA cố gắng yêu cầu bạn chạy một script nào đó, tuyệt đối không thực hiện. Không có bất kỳ lý do nào để một CAPTCHA yêu cầu bạn thực thi bất cứ điều gì trên PC của mình.
Tương tự, một CAPTCHA cũng không bao giờ yêu cầu bạn mở một tiện ích trên PC và gõ các lệnh vào đó. Nếu bạn gặp phải trường hợp như vậy, bạn nên ngay lập tức rời khỏi trang web đó — khả năng cao trang web đã bị xâm nhập và chứa mã độc.
Ngoài ra, CAPTCHA cũng không bao giờ yêu cầu bạn tải xuống hoặc cài đặt bất kỳ phần mềm nào.
Bởi lẽ, CAPTCHA về cơ bản là những câu đố được thiết kế để phân biệt giữa AI và con người. Chúng có thể hoàn thành mục đích đó mà không cần phải cài đặt bất cứ thứ gì lên máy tính của bạn. Hãy luôn cảnh giác trước những yêu cầu bất thường từ CAPTCHA để bảo vệ an ninh mạng cá nhân.
Bạn Nên Làm Gì Nếu Đã Vô Tình Chạy Lệnh Độc Hại?
Nếu bạn đã vô tình chạy một lệnh từ CAPTCHA độc hại, điều đầu tiên bạn nên làm là ngắt kết nối PC khỏi internet. Hãy làm điều này ngay lập tức, ít nhất là cho đến khi bạn hiểu rõ hơn về tình hình. Không phải tất cả mã độc đều cần hoặc có thể sử dụng kết nối internet, nhưng một số loại mã độc nguy hiểm nhất lại hoạt động thông qua đó để phát tán hoặc gửi dữ liệu.
Nếu bạn đã đăng nhập vào bất kỳ trang web quan trọng nào sau khi chạy script, chẳng hạn như tài khoản ngân hàng hoặc email, bạn nên sử dụng một thiết bị khác (chẳng hạn như điện thoại hoặc một máy tính khác chưa bị nhiễm) để thay đổi mật khẩu cho các trang web đó ngay lập tức. Đồng thời, hãy bật xác thực hai yếu tố (two-factor authentication) nếu bạn chưa thực hiện.
Bây giờ, bạn có hai lựa chọn để xử lý tình huống: bạn có thể đặt lại PC hoàn toàn về trạng thái ban đầu (factory reset), đây là cách rất hiệu quả để loại bỏ hầu hết mã độc, hoặc bạn có thể cố gắng dọn dẹp PC thủ công.
Microsoft đã làm cho việc đặt lại PC trở nên cực kỳ dễ dàng. Bạn chỉ cần nhấn tổ hợp phím Windows+I để mở ứng dụng Cài đặt (Settings), điều hướng đến mục Hệ thống (System) > Khôi phục (Recovery) > Đặt lại PC này (Reset This PC), và chọn tùy chọn “Giữ lại tệp của tôi” (Keep My Files). Bạn cũng có thể chọn tùy chọn xóa mọi thứ, nhưng có lẽ không cần thiết trong hầu hết các trường hợp.
Cách Dọn Dẹp Máy Tính Thủ Công
Nếu bạn chọn cố gắng dọn dẹp PC thủ công, có một vài bước bạn cần thực hiện để loại bỏ phần mềm độc hại:
Đầu tiên, hãy sử dụng Windows Security để chạy một bản quét toàn bộ hệ thống. Nó có thể không phát hiện ra mọi thứ, nhưng đây là một bước khởi đầu tuyệt vời trong việc bảo vệ an ninh mạng cho máy tính của bạn.
Các tùy chọn quét virus trong Windows Security của Windows 11
Trong khi Windows Security đang thực hiện việc đó, bạn hãy nhấn Ctrl+Shift+Esc để mở Task Manager, sau đó nhấp vào tab “Ứng dụng khởi động” (Startup Apps). Đôi khi mã độc sẽ tự thêm vào danh sách khởi động để chúng chạy mỗi khi bạn bật máy tính.
Tab Ứng dụng Khởi động (Startup Apps) trong Task Manager để kiểm tra phần mềm độc hại
Nhấp vào tiêu đề “Trạng thái” (Status) cho đến khi các ứng dụng khởi động của bạn được sắp xếp sao cho các ứng dụng đã bật được liệt kê đầu tiên, sau đó cuộn qua chúng một cách cẩn thận. Bạn có thể bỏ qua một cách an toàn bất kỳ ứng dụng nào có tên “Microsoft Windows”, “Microsoft Corporation” hoặc “Microsoft” trong tab “Nhà phát hành” (Publisher). Tuy nhiên, nếu bạn thấy thứ gì đó không quen thuộc hoặc có vẻ đáng ngờ, hãy nhấp chuột phải vào nó và chọn “Vô hiệu hóa” (Disable).
Vô hiệu hóa một ứng dụng đáng ngờ trong danh sách khởi động của Task Manager
Bạn không thể làm hỏng PC của mình bằng menu này — tệ nhất, bạn có thể vô hiệu hóa thứ gì đó bạn thực sự sử dụng, nhưng bạn luôn có thể quay lại và bật lại nếu cần.
Kích hoạt lại một ứng dụng khởi động đã bị vô hiệu hóa trong Task Manager
Khi Task Manager đang mở, hãy chuyển sang tab “Tiến trình” (Processes) và tìm kiếm bất kỳ ứng dụng nào bạn không nhận ra đang sử dụng nhiều tài nguyên. Bạn nên mong đợi “Antimalware Service Executable” sẽ sử dụng nhiều tài nguyên — đó là quá trình quét của Windows Security đang chạy.
Tiến trình quét Antimalware Service Executable đang hoạt động trong Task Manager
Tuy nhiên, ngoài điều đó, hãy tìm kiếm bất cứ thứ gì bạn không nhận ra. Nếu bạn phát hiện ra điều gì đó đáng ngờ, cách nhanh nhất để xác định xem đó có phải là mã độc hay không là tìm kiếm trên internet bằng một thiết bị khác. Các ứng dụng và dịch vụ của Microsoft được ghi lại rất chi tiết, và bạn có thể sẽ nhận được rất nhiều kết quả cho các chương trình hợp pháp. Tuy nhiên, nếu bạn không tìm thấy bất cứ điều gì về một ứng dụng, đó là một dấu hiệu cảnh báo nghiêm trọng.
Khi bạn tìm thấy thứ gì đó đáng ngờ, hãy nhấp chuột phải vào nó và chọn “Mở vị trí tệp” (Show File Location).
Mở vị trí tệp của một tiến trình đáng ngờ trong Task Manager
Bạn có thể khá chắc chắn rằng bất cứ thứ gì trong “C:Microsoft” không phải là mã độc. Tuy nhiên, nếu bạn tìm thấy một tệp thực thi ngẫu nhiên được tạo cùng lúc khi bạn chạy script từ CAPTCHA, bạn nên xóa nó.
Nếu bạn muốn đi xa hơn, bạn cũng có thể kiểm tra “Bộ lập lịch tác vụ” (Task Scheduler), mặc dù tôi không khuyến nghị điều đó trừ khi bạn đã quen thuộc với phần mềm trên PC của mình. Một số mã độc sẽ tạo một tác vụ để định kỳ tải xuống lại chính nó, điều này có thể khiến bạn gặp rắc rối liên tục. Thật không may, việc kiểm tra qua Task Scheduler thực sự rất tẻ nhạt vì có vô số tác vụ trên hầu hết các PC và không phải lúc nào cũng rõ ràng tác vụ đó thực sự làm gì. Nếu bạn không quen thuộc với chức năng của từng ứng dụng, bạn sẽ phải tra cứu các tác vụ này trên internet từng cái một.
Sau khi quá trình quét của Windows Security hoàn tất và bạn đã kiểm tra Task Manager cùng các ứng dụng khởi động để tìm bất kỳ điều gì đáng ngờ, bạn có thể khá chắc chắn rằng mình đã sạch mã độc. Lúc này, bạn có thể thoải mái kết nối lại internet. Như một biện pháp phòng ngừa cuối cùng, chúng tôi khuyên bạn nên tải xuống và cài đặt Malwarebytes rồi chạy quét virus bằng phần mềm này.
Điều quan trọng cần lưu ý là không có gì đảm bảo tuyệt đối trong an ninh mạng – các lỗ hổng mới được tạo ra, phát hiện và sử dụng mỗi ngày, và không có cách nào để hoàn toàn chắc chắn rằng các bản quét của bạn đã tìm thấy và loại bỏ tất cả mã độc.
Tài liệu tham khảo:
- How to Factory Reset a Windows 11 PC
- Does Your Computer Have a Virus? Here’s How to Check.
- How to Scan with Microsoft Defender Antivirus on Windows 11
- Remove Malware Quickly With Malwarebytes Anti-Malware
