Fałszywe zaproszenia i phishing. Jak CAPTCHA i RMM udają zwykły proces

2026-05-07

TL;DR

Fałszywe zaproszenie na wydarzenie brzmi mniej groźnie niż faktura, wezwanie do zapłaty albo ostrzeżenie o blokadzie konta. I właśnie dlatego ten scenariusz jest ciekawy z perspektywy bezpieczeństwa. Nie opiera się wyłącznie na strachu. Częściej wykorzystuje ciekawość, rutynę i to, że w pracy codziennie pojawiają się nowe spotkania, webinary, zaproszenia, formularze rejestracyjne i linki do potwierdzenia udziału.

ANY.RUN, platforma używana do bezpiecznej analizy malware i phishingu w izolowanym środowisku, opisała kampanię wymierzoną głównie w organizacje w USA. Atak wykorzystywał fałszywe zaproszenia na wydarzenia, strony pośrednie, CAPTCHA i powtarzalną infrastrukturę phishingową. Część stron prowadziła do kradzieży loginu, hasła i kodu OTP, czyli jednorazowego kodu logowania. Inne warianty prowadziły do dostarczenia legalnych narzędzi zdalnego zarządzania, takich jak ScreenConnect, ITarian, Datto RMM, ConnectWise czy LogMeIn Rescue.

To nie jest tylko kolejna fałszywa strona logowania. Ważniejszy jest cały proces. Użytkownik ma poczucie, że przechodzi przez zwykłą ścieżkę: zaproszenie, weryfikację, potwierdzenie, logowanie albo pobranie dodatku potrzebnego do udziału. Właśnie w takim codziennym procesie najłatwiej ukryć prawdziwe ryzyko.

Jak wygląda taki atak krok po kroku

Najpierw użytkownik dostaje wiadomość, która wygląda jak zaproszenie na wydarzenie, spotkanie, webinar albo materiał powiązany z jakąś inicjatywą. Nie musi to być agresywny komunikat. Często wystarczy neutralny pretekst: potwierdź udział, sprawdź szczegóły, zobacz agendę, odbierz zaproszenie albo przejdź do materiału.

Po kliknięciu linku użytkownik trafia na stronę pośrednią. Tam może pojawić się CAPTCHA, czyli mechanizm znany z legalnych serwisów, który zwykle ma potwierdzać, że po drugiej stronie jest człowiek, a nie bot. Dla wielu osób CAPTCHA działa jak sygnał wiarygodności. Skoro strona wymaga takiej weryfikacji, może wyglądać bardziej profesjonalnie. Problem polega na tym, że atakujący również mogą używać CAPTCHA, zarówno po to, żeby utrudnić automatyczną analizę kampanii, jak i po to, żeby zbudować wrażenie normalnego procesu.

Dalej ścieżka może pójść w dwóch kierunkach. W pierwszym użytkownik trafia na fałszywe logowanie, podaje dane i wpisuje kod OTP. OTP to jednorazowy kod używany często jako dodatkowy składnik logowania. W drugim wariancie użytkownik jest nakłaniany do pobrania albo uruchomienia narzędzia, które wygląda jak element wsparcia technicznego lub dostępu do wydarzenia. Jeśli jest to narzędzie RMM, czyli remote monitoring and management, atakujący może próbować uzyskać zdalny dostęp do komputera.

Właśnie dlatego ten scenariusz jest groźniejszy, niż wygląda na początku. Nie chodzi o jedno kliknięcie. Chodzi o sekwencję małych decyzji, z których każda może wydawać się całkiem rozsądna, dopóki nie spojrzy się na cały łańcuch.

Dlaczego fałszywe zaproszenia dobrze działają

Zaproszenia są naturalnym elementem pracy. Ludzie dostają linki do spotkań, webinarów, transmisji, ankiet, zapisów i materiałów po wydarzeniu. Nie każdy taki link da się długo analizować, zwłaszcza gdy odbiorca jest w biegu, przeskakuje między spotkaniami i traktuje wiadomość jako kolejne zadanie do szybkiego zamknięcia.

To odróżnia ten scenariusz od bardziej oczywistych prób phishingu. Faktura, blokada konta albo ostrzeżenie o płatności budują presję. Zaproszenie częściej buduje ciekawość. Nie krzyczy, nie straszy, nie wymaga natychmiastowej reakcji wprost. Wystarczy, że wygląda jak coś z kalendarza, HR, marketingu, sprzedaży, partnerstwa albo branżowego wydarzenia.

W praktyce taki phishing uderza w zwyczajność. Użytkownik nie ma poczucia, że robi coś niebezpiecznego. W jego oczach sprawdza zaproszenie, przechodzi prostą weryfikację i wykonuje kolejne kroki, które wyglądają podobnie do wielu legalnych procesów online.

CAPTCHA nie jest dowodem bezpieczeństwa

CAPTCHA bywa kojarzona z bezpieczeństwem, ale nie powinna być traktowana jako dowód zaufania do strony. To tylko element procesu. Legalne serwisy używają jej do ograniczania automatycznego ruchu, ale przestępcy mogą wykorzystywać ten sam mechanizm w phishingu.

W opisywanym scenariuszu CAPTCHA pełni dwie role. Technicznie może utrudniać analizę przez automatyczne systemy, boty i część narzędzi bezpieczeństwa. Psychologicznie daje użytkownikowi poczucie, że strona jest prawdziwa, bo wygląda jak wiele innych legalnych serwisów. To niebezpieczne odwrócenie intuicji: element, który kojarzy się z ochroną, staje się częścią scenografii ataku.

Podobny mechanizm opisał Microsoft w kampanii opartej na motywie code of conduct. Tam użytkownicy również przechodzili przez strony pośrednie i CAPTCHA, zanim trafiali do procesu prowadzącego do przejęcia tokenów sesyjnych w modelu AiTM. AiTM, czyli adversary-in-the-middle, to atak, w którym fałszywa strona staje pomiędzy użytkownikiem a prawdziwą usługą i może przechwycić cały proces logowania.

Najważniejsza zasada jest prosta: CAPTCHA może być częścią prawdziwej strony, ale sama w sobie nie potwierdza, że strona jest bezpieczna.

RMM zmienia konsekwencje ataku

Najbardziej niepokojący element tego typu kampanii to możliwość przejścia od kradzieży danych do zdalnego dostępu. RMM, czyli remote monitoring and management, to legalna kategoria narzędzi używanych przez działy IT, administratorów i firmy wsparcia technicznego. Takie narzędzia pomagają zarządzać komputerami, udzielać pomocy użytkownikom, instalować oprogramowanie i rozwiązywać problemy bez fizycznego dostępu do urządzenia.

W rękach administratora RMM jest normalnym narzędziem pracy. W rękach atakującego może stać się wygodnym sposobem na wejście do środowiska. Jeśli użytkownik zostanie nakłoniony do instalacji takiego programu, przestępca może uzyskać interaktywny dostęp do stacji roboczej. To może oznaczać podgląd ekranu, wykonywanie działań w kontekście użytkownika, pobieranie plików, uruchamianie kolejnych narzędzi albo przygotowanie następnego etapu ataku.

Taki scenariusz bywa trudniejszy do jednoznacznej oceny niż klasyczne malware. Na komputerze pojawia się legalne oprogramowanie, czasem podpisane i używane w tysiącach normalnych firm. Problem nie leży w tym, że narzędzie samo w sobie jest złośliwe. Problem polega na tym, kto je uruchomił, w jakim kontekście i kto naprawdę kontroluje połączenie.

Ten trend nie dotyczy wyłącznie jednej kampanii. Badacze opisywali również scenariusze wykorzystujące SimpleHelp i ScreenConnect jako sposób na uzyskanie trwałego dostępu po wcześniejszej socjotechnice. Malwarebytes opisał z kolei wariant, w którym fałszywe zaproszenie na imprezę prowadziło do instalacji klienta ScreenConnect na komputerze ofiary.

Co powinno zapalić lampkę ostrzegawczą

Nie każde zaproszenie jest podejrzane i nie każda CAPTCHA oznacza phishing. Chodzi o połączenie kilku elementów, które razem tworzą ryzykowny proces. Jeśli wiadomość prowadzi do strony, która wymaga nietypowej weryfikacji, prosi o logowanie w kontekście zaproszenia, żąda kodu OTP albo namawia do pobrania narzędzia zdalnego dostępu, użytkownik powinien się zatrzymać.

Szczególnie niepokojące są sytuacje, w których strona wydarzenia prosi o dane logowania do poczty lub firmowego konta, choć nie ma jasnego powodu, by to robić. Podobnie należy traktować prośby o wpisanie kodu jednorazowego poza zwykłą ścieżką logowania. Kod OTP nie jest zwykłym polem formularza. To element zabezpieczenia dostępu i powinien być wpisywany wyłącznie wtedy, gdy użytkownik ma pełną pewność, że loguje się do prawdziwej usługi.

Jeszcze mocniejszym sygnałem ostrzegawczym jest prośba o instalację programu. Jeśli zaproszenie na wydarzenie, webinar albo spotkanie nagle wymaga pobrania narzędzia zdalnego dostępu, trzeba traktować to jako poważne ryzyko, a nie jako rutynową niedogodność techniczną.

Co zrobić po podaniu OTP albo instalacji narzędzia RMM

W takim scenariuszu liczy się czas. Jeśli użytkownik podał kod OTP na podejrzanej stronie albo zainstalował narzędzie zdalnego dostępu z niezweryfikowanego źródła, sprawy nie należy odkładać na później. Nawet jeśli nic widocznego się nie wydarziło, atakujący mógł już uzyskać dostęp albo spróbować przejąć sesję.

Pierwszy krok to szybkie zgłoszenie do IT, SOC albo osoby odpowiedzialnej za bezpieczeństwo. SOC to zespół lub centrum monitorujące zdarzenia bezpieczeństwa i reagujące na incydenty. Następnie trzeba odłączyć urządzenie od sieci lub ograniczyć jego łączność zgodnie z procedurą organizacji, żeby zatrzymać możliwe działania zdalne. Równolegle należy unieważnić aktywne sesje, zmienić hasło z bezpiecznego urządzenia i sprawdzić, czy na koncie nie pojawiły się nowe metody MFA, nowe urządzenia albo nietypowe logowania.

Jeśli problem dotyczył RMM, trzeba sprawdzić zainstalowane programy, usługi Windows, zadania harmonogramu, połączenia sieciowe i logi narzędzi bezpieczeństwa. Samo odinstalowanie programu może nie wystarczyć, jeśli atakujący zdążył pobrać dane, uruchomić dodatkowe narzędzia albo zmienić konfigurację systemu. Warto też sprawdzić, czy ten sam link lub podobna wiadomość trafiły do innych osób w organizacji.

Najgorsza reakcja to milczenie ze strachu przed konsekwencjami. W dobrze prowadzonej kulturze bezpieczeństwa użytkownik, który szybko zgłasza błąd, pomaga ograniczyć skutki incydentu.

Co powinno interesować IT i Security

Ten typ ataku warto czytać jako sygnał dla zespołów IT, Security i osób odpowiedzialnych za program awareness. Pracownik nie musi już po prostu uwierzyć w fałszywy formularz logowania. Może zostać przeprowadzony przez kilka pozornie normalnych kroków: zaproszenie, CAPTCHA, strona wydarzenia, prośba o logowanie, kod OTP albo pobranie narzędzia.

Dlatego działania obronne powinny obejmować więcej niż ostrzeganie przed podejrzanymi linkami. Organizacja powinna wiedzieć, jakie narzędzia RMM są dozwolone, kto może je instalować, jak wygląda legalny proces wsparcia zdalnego i jak użytkownik ma sprawdzić, czy prośba o instalację programu pochodzi z prawdziwego źródła. Warto też kontrolować instalację oprogramowania z katalogów użytkownika, monitorować nowe usługi i procesy związane ze zdalnym dostępem oraz analizować nietypowe uruchomienia instalatorów MSI.

Równie ważne jest podejście do MFA. Kod OTP nie powinien być traktowany przez użytkownika jako zwykły kolejny krok w formularzu. Jeśli osoba loguje się do poczty, a strona prosi o kod w kontekście zaproszenia na wydarzenie, to powinien być moment zatrzymania. W bardziej zaawansowanych scenariuszach problem jest jeszcze trudniejszy, bo ataki AiTM mogą przechwytywać tokeny sesyjne mimo użycia niektórych metod MFA. To wzmacnia potrzebę phishing-resistant MFA, kontroli sesji, warunkowego dostępu i analizy ryzyka logowania.

Co warto testować w programie awareness

Z perspektywy testów phishingowych ten scenariusz jest bardzo dobrym przykładem kampanii, której nie da się ocenić wyłącznie przez kliknięcia. Samo kliknięcie w link mówi niewiele. Dużo więcej mówi ścieżka zachowania użytkownika: czy zatrzymał się na stronie pośredniej, czy przeszedł CAPTCHA, czy podał dane logowania, czy wpisał kod OTP, czy pobrał plik, czy zgłosił wiadomość i czy przerwał proces po zauważeniu nietypowego żądania.

W dobrze zaprojektowanym teście warto mierzyć właśnie te etapy. Dzięki temu organizacja widzi nie tylko, kto kliknął, ale też gdzie użytkownicy zaczynają tracić czujność i gdzie trzeba wzmocnić edukację, procedury lub zabezpieczenia techniczne. To znacznie bliższe realnym atakom niż prosta kampania oparta na jednym linku i jednym ekranie.

Ten motyw dobrze uzupełnia wcześniejsze wątki opisywane na PHISHLY, między innymi phishing udający sprawę HR i code of conduct, email bombing połączony z fałszywym helpdeskiem oraz szersze podejście do testów phishingowych, które mierzą odporność pracowników, a nie tylko kliknięcia.

Najważniejsza lekcja dla firm

Fałszywe zaproszenia są skuteczne, bo mieszczą się w codziennej pracy. Nie muszą straszyć blokadą konta ani udawać pilnej faktury. Wystarczy, że wyglądają jak zwykły element komunikacji biznesowej: wydarzenie, formularz, potwierdzenie udziału, strona z agendą albo materiał do pobrania.

Dla organizacji oznacza to konieczność zmiany akcentu w edukacji i testach. Użytkownik powinien rozumieć nie tylko to, że link może być fałszywy, ale też to, że cały proces może zostać podrobiony. Zaproszenie, CAPTCHA, formularz, kod OTP i prośba o instalację narzędzia mogą tworzyć spójną historię, która wygląda wiarygodnie, dopóki ktoś nie spojrzy na nią jak na łańcuch ryzyka.

Właśnie dlatego nowoczesny program awareness powinien uczyć rozpoznawania procesów, a nie tylko pojedynczych czerwonych flag. To różnica między użytkownikiem, który wie, że nie należy klikać podejrzanych linków, a użytkownikiem, który potrafi zatrzymać atak wtedy, gdy wiadomość wygląda poprawnie, strona ma CAPTCHA, a kolejne kroki nadal przypominają normalny dzień pracy.

Jeżeli chcesz sprawdzić, czy Twoi pracownicy potrafią zatrzymać się w takim scenariuszu, zobacz, jak PHISHLY pomaga budować mierzalną odporność cyfrową przez symulacje, edukację i analizę zachowań użytkowników.