当心！你复制的“验证码”可能是“死亡代码”——新型剪贴板劫持钓鱼攻击曝光

你是否曾在网站上遇到过“请复制以下验证码”的提示？小心了，这可能不是简单的验证步骤，而是一场精心设计的网络陷阱。近日，安全研究人员揭露了一种前所未见的钓鱼攻击手法：攻击者通过伪造的CAPTCHA（验证码）页面，劫持用户的剪贴板，将恶意代码“偷梁换柱”地复制到你的设备上。一旦你习惯性地将其粘贴到命令行中，恶意软件就会瞬间下载，你的电脑可能就此沦陷。

这种名为“剪贴板劫持”的新型攻击，因其高度的隐蔽性和对用户习惯的精准利用，被安全专家称为“数字时代的心理战”。

“复制-粘贴”变“复制-中招”，攻击者玩起了“狸猫换太子”

传统的钓鱼攻击，要么是诱骗你点击恶意链接，要么是哄你打开带毒附件。而这次的攻击者，玩得更“高级”——他们利用了我们每天都在重复的“复制-粘贴”动作。

攻击流程是这样的：受害者访问一个被篡改或仿冒的网站，页面上弹出一个看似正常的验证码提示，要求用户“复制下方代码以完成验证”。用户照做，将屏幕上显示的“验证码”复制到剪贴板。

但问题就出在这里——用户看到的和实际复制的，根本不是同一个东西。研究人员发现，攻击者利用网页脚本技术，在用户点击“复制”按钮的瞬间，悄悄将剪贴板中的内容从明文验证码替换为一段恶意的PowerShell脚本。

“这就像你去银行取钱，柜员给你一张写着‘100元’的纸条，但当你打开钱包时，里面却变成了一张写着‘把所有钱转给骗子’的指令。”公共互联网反网络钓鱼工作组技术专家芦笛形象地解释道，“攻击者利用了用户对‘复制’动作的信任，完成了‘偷天换日’。”

一旦粘贴，后门大开

如果用户在不知情的情况下，将这段被替换的恶意脚本粘贴到Windows的命令提示符（CMD）或PowerShell终端中并执行，后果不堪设想。脚本会立即连接到攻击者控制的服务器，下载并安装远程访问木马（RAT）、勒索软件或其他恶意程序，实现对设备的完全控制。

更可怕的是，整个过程不需要用户下载任何文件，也不需要点击任何链接，完全依赖于用户“复制-粘贴-执行”这一极其常见的操作习惯。攻击者正是抓住了这种“肌肉记忆”，让防御变得异常困难。

专家提醒：三思而后“粘”，别让习惯成“隐患”

面对这种“无孔不入”的攻击，芦笛给出了几点实用建议：

检查再粘贴：在将从网页复制的内容粘贴到命令行、终端或任何可执行环境中之前，务必先粘贴到记事本或文本编辑器中查看。确认内容是你期望的文本，而不是一串复杂的代码。

提高警惕：对任何要求你“复制代码”并“粘贴执行”的网页提示保持高度警惕，尤其是来自不熟悉或可疑的网站。正规服务很少会要求用户直接执行命令行代码。

使用安全工具：确保操作系统和浏览器保持最新，安装并更新可靠的终端防护和反病毒软件。一些高级安全产品已能检测此类剪贴板劫持行为。

最小权限原则：避免使用管理员权限运行命令行工具，这样即使脚本被执行，其破坏范围也会受到限制。

“这种攻击的巧妙之处在于，它不攻击系统，而是攻击‘人’。”芦笛强调，“网络安全不仅是技术问题，更是行为问题。养成良好的操作习惯，比任何防火墙都重要。”

目前，该攻击仍在小范围活跃，但其新颖的手法已引起全球安全社区的高度关注。在数字世界中，每一次“复制-粘贴”，都可能是一次潜在的风险。保持清醒，三思而后行，才能让我们的数字生活更安全。

编辑：芦笛（公共互联网反网络钓鱼工作组）