JuSun/Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
**Poin Penting ZDNET**
CAPTCHA jahat kian populer digunakan sebagai umpan. Penggunaannya meningkat 563% selama tahun 2025.
Mengenali CAPTCHA palsu bisa sulit, tapi begini caranya.
CAPTCHA memang bisa mengesalkan, namun ia memberikan tingkat verifikasi pengguna yang dapat membantu layanan web bertahan dari berbagai ancaman siber.
Sayangnya, CAPTCHA juga dapat disalahgunakan sebagai umpan jahat yang menargetkan pengunjung, dan tampaknya menjadi senjata pilihan bagi penjahat siber modern.
**Juga:** Mengapa agen AI perusahaan dapat menjadi ancaman internal utama
Berdasarkan Laporan Ancaman Global 2026 dari CrowdStrike yang diterbitkan awal bulan ini, umpan CAPTCHA palsu diadopsi dengan kecepatan tinggi oleh penyerang yang berharap membahayakan perangkat Anda. Dalam dua tahun terakhir, popularitasnya meningkat hingga umpan pembaruan browser jahat mulai ditinggalkan untuk digantikan olehnya.
Apa itu CAPTCHA?
CAPTCHA, atau nama panjangnya “Completely Automated Public Turing Test to tell Computers and Humans Apart,” adalah mekanisme tantangan-dan-respons yang ditemukan di situs web.
CAPTCHA memberi tantangan yang membedakan antara pengunjung manusia dan robot di sebuah situs web, sumber daya, atau layanan daring. Tantangan ini bisa berupa teka-teki visual. Atau Anda mungkin diminta mengetik kata atau rangkaian huruf dan angka yang telah didistorsi agar sulit diidentifikasi robot. Anda juga mungkin diminta menahan tombol selama beberapa detik untuk membuktikan Anda manusia.
**Juga:** Separuh serangan siber dimulai dari browser: 10 tips penting untuk tetap aman
Mekanisme ini awalnya dirancang untuk menghentikan bot dan agen robotik membanjiri forum dan platform situs web dengan pesan dan balasan otomatis, namun kini berkembang untuk mencegah upaya login kata sandi paksa, pembelian atau pendaftaran massal otomatis, scraping, dan menghentikan serangan daring berbasis bot.
Memang menyebalkan, terutama ketika sistem tidak dapat memverifikasi Anda manusia lewat latihan pertama—yang mungkin berarti Anda harus menyelesaikan satu atau dua teka-teki lagi. Ini jadi masalah khususnya jika Anda memiliki kebutuhan aksesibilitas. Namun, CAPTCHA kini已成为 bagian dari kehidupan daring dan memberikan lapisan perlindungan bagi situs web yang menghadapi ancaman otomatis.
Temuan CrowdStrike
Menurut laporan CrowdStrike, tahun lalu banyak penjahat siber beralih dari umpan phishing terkait pembaruan browser ke taktik CAPTCHA palsu.
Dibandingkan dengan data peristiwa keamanan 2024, tim riset melaporkan peningkatan 563% dalam penggunaan umpan CAPTCHA pada 2025, dibandingkan dengan umpan pembaruan browser.
Penggunaan umpan pembaruan browser jahat dan umpan CAPTCHA palsu oleh penjahat, dari Januari 2024 hingga Desember 2025
CrowdStrike
Mengapa CAPTCHA digunakan sebagai alat penjahat siber?
Ada beragam jendela dan mekanisme CAPTCHA, dan aktor ancaman memanfaatkan kurangnya keseragaman ini.
Pada intinya, CAPTCHA jahat digunakan untuk mengelabui korban agar melakukan tindakan yang mengakibatkan pengunduhan dan eksekusi malware atau kunjungan ke situs web berbahaya. Mereka mungkin menyertakan instruksi tingkat sistem, tautan untuk mengalihkan lalu lintas pengguna, atau bahkan kode QR yang akan mengarahkan Anda ke domain phishing.
Kampanye penjahat siber yang melibatkan CAPTCHA jahat paling umum dikaitkan dengan penyebaran Trojan, pencuri informasi, dan spyware.
Cara mengenali CAPTCHA* palsu dan langkah selanjutnya
Paling sering, jendela CAPTCHA palsu digunakan untuk mencoba membujuk korban meretas dirinya sendiri.
Ini adalah metode rekayasa sosial yang fokus pada mereka yang kurang melek teknologi. Jika Anda pernah mendengar tentang Clickfix, prinsipnya sama: tampilkan peringatan yang memaksa Anda bertindak, manfaatkan kemampuan kita memecahkan masalah, berikan serangkaian instruksi, dan bujuk seseorang untuk mengunduh paket berbahaya sendiri—sambil tetap tidak mencolok.
Beginilah cara kerjanya. CAPTCHA palsu muncul di situs web yang telah dibobol atau mencurigakan. Alih-alih teka-teki atau permainan kata, Anda akan diminta memverifikasi bahwa Anda bukan robot dengan cara lain—dan ini melibatkan mengikuti serangkaian instruksi.
**Juga:** AI kini dapat menyelesaikan tes reCAPTCHA seakurat Anda
Untuk memudahkan verifikasi, instruksi ini dipecah menjadi perintah sederhana dan hanya meminta Anda menyalin dan menempelkan pesan ke dalam dialog Windows Run (Win + R) atau terminal. Sayangnya, ini akan menjalankan PowerShell dan mengunduh muatan berbahaya ke sistem Anda.
Karena Anda sendiri yang memulai pengunduhan di tingkat sistem, perlindungan anti-phishing standar tidak akan membantu.
Anda juga mungkin menemukan “kesalahan” di jendela CAPTCHA yang meminta Anda mengunjungi halaman web berbeda—dengan tautan domain palsu atau phishing yang disediakan—untuk mengakses konten yang ingin Anda tuju.
Penulis ZDNET Ed Bott mengikuti jejak sebuah CAPTCHA palsu (catatan: jangan coba ini di rumah), dan dalam contohnya, CAPTCHA palsu itu menampilkan logo Cloudflare yang familier dan mengklaim bahwa lalu lintas tidak biasa terdeteksi. Pemberitahuan CAPTCHA itu menampilkan serangkaian instruksi Windows yang meminta pengguna menyalin dan menempelkan perintah baris perintah untuk tujuan “verifikasi manual”.
**Juga:** Saya sengaja mengklik empat scam daring yang licik – untuk menunjukkan cara kerjanya
Pengguna yang tidak curiga akan menjalankan perintah itu dan tanpa sadar mengunduh muatan ke PC mereka, Trojan:PowerShell/FakeCaptcha, yang kemudian akan mencuri informasi dari mesin tersebut.
Ed Bott
Untuk mencegah tertipu CAPTCHA palsu, berikut beberapa nasihat:
- Jangan jalankan perintah tingkat sistem apa pun yang diminta secara daring. Itu kemungkinan besar upaya menipu Anda. Ini termasuk instruksi salin-dan-tempel. Apa pun di luar teka-teki atau latihan huruf yang menyebalkan tidak sebanding risikonya bagi keamanan dan privasi Anda.
- Jika pesan CAPTCHA meminta Anda menjalankan apa pun, jangan lakukan.
- Perbarui browser Anda dan aktifkan pemindaian web waktu nyata. Meski ini mungkin tidak mencegah Anda menemui CAPTCHA palsu, Anda mungkin dapat diperingatkan jika browser mendeteksi jendela berbahaya atau situs web phishing.
- Jangan panik. Penjahat siber akan mencoba menakut-nakuti pengguna untuk bertindak cepat daripada mundur sejenak dan mempertimbangkan keaslian peringatan. Jika Anda menemui tampilan kesalahan atau pesan aksi mendesak, luangkan beberapa detik untuk memikirkan keasliannya (kemungkinan besar tidak asli). Setelah itu, tutup tab.
- Pertimbangkan menggunakan pemblokir iklan. Mereka tidak selalu menangkap pop-up phishing atau CAPTCHA palsu, tapi bisa membantu—dan setidaknya, mereka akan membersihkan pengalaman menjelajah Anda.
- Tautan URL aneh, kesalahan ejaan, dan pilihan kata yang ganjil dapat mengindikasikan Anda menghadapi umpan CAPTCHA. Waspadalah.
- Baca panduan dan tips utama kami untuk keamanan dan kebersihan browser untuk menjaga sistem Anda tetap aman.