Sahte CAPTCHA Saldırıları 2026'da %563 Arttı: Microsoft Script ve Lumma Stealer ile Nasıl Tanırsınız?

2026’da sahte CAPTCHA saldırıları, dijital güvenliğin en tehlikeli sosyal mühendislik saldırılarından biri haline geldi. The Hacker News’e göre, bu saldırılar geçen yıl %563 artış kaydederek, kullanıcıları kandırmak için artık sadece basit görsel testler değil, Microsoft’un legít doğrulama sistemlerini ve Lumma Stealer gibi kötü amaçlı yazılımları entegre ediyor. CSO Online raporları, bu saldırıların hedefinin artık spam değil, banka hesaplarına erişim, kimlik çalma ve iki faktörlü kimlik doğrulama kodlarının çalınması olduğunu gösteriyor.

Sahte CAPTCHA Nedir ve Nasıl Çalışır?

Tradisyonel CAPTCHA’lar, insan olduğunu kanıtlamak için tasarlandı. Ama saldırganlar şimdi bu sistemi tersine çeviriyor. Sahte CAPTCHA’lar, gerçek web sitelerine tamamen benzer şekilde görünür — hatta Microsoft Azure AD veya Bing doğrulama arayüzlerini kopyalayarak kullanıcıları yanıltır. Right-Hand Cybersecurity’in 2026 analizlerine göre, bu formlar kullanıcı verilerini topladıktan sonra otomatik olarak Lumma Stealer’i indirir.

Gerçek vs Sahte CAPTCHA: 4 Fark

• Gerçek CAPTCHA: reCAPTCHA veya hCaptcha logosu, hafif gecikme, bulanık metin veya sesli doğrulama seçeneği.
• Sahte CAPTCHA: Microsoft/Google logoları, anında yüklenme, "Doğrulama başarılı" mesajı, "Gizlilik Politikası" bağlantısı.
• Gerçek CAPTCHA: Google.com/recaptcha veya hcaptcha.com gibi tanınmış alan adları.
• Sahte CAPTCHA: rastgele uzantılı siteler (örneğin: verify-your-account[.]xyz).

Microsoft Script’leri Nasıl Kullanılıyor?

Saldırganlar, legitimate Microsoft JavaScript dosyalarını (örneğin: Azure AD doğrulama kodları) sahte formlara entegre ederek, tarayıcıların bu siteleri "güvenilir" olarak işaretlemesini sağlıyor. Bu teknik, güvenlik yazılımlarının bu formları engellemesini zorlaştırıyor. The Hacker News, bu yöntemin 2026’da en çok kullanılan "gizli kapı" olduğunu belirtiyor.

Lumma Stealer: Saldırının Son Aşaması

Lumma Stealer, sahte CAPTCHA’larla birlikte çalışan bir bilgi çalma malware’idir. Kullanıcı verilerini topladıktan sonra şifreleri, oturum çerezlerini ve 2FA kodlarını hemen veri sunucularına iletir. Right-Hand.ai, bu malwares’in 2026’da sahte CAPTCHA saldırılarının %89’unda kullanıldığını doğruladı.

5 Adımda Sahte CAPTCHA’yi Tanıma ve Korunma

2026’da her CAPTCHA karşısında 3 saniye durmak, binlerce dolarlık kayıpları önleyebilir.

1. URL’yi Kontrol Et

Gerçek CAPTCHA’lar sadece güvenilir alan adlarında çalışır: google.com, hcaptcha.com. Sahte olanlar, kısa ve rastgele uzantılı domainler kullanır.

2. Logoları Doğrula

Microsoft veya Google logosu görüyorsanız, fareyi üzerine getirin. Gerçek logolar, tıklandığında resmi siteye yönlendirir. Sahte olanlar, phishing sayfalarına gider.

3. Şifre İsteyen CAPTCHA’ya Asla Cevap Verme

Gerçek güvenlik sistemleri, CAPTCHA ile şifre istemez. Şifre isteyen bir form, %100 sahtedir.

4. Hız ve Profesyonellik Şüphesi Yaratır

Sahte CAPTCHA’lar çok hızlı yüklenir ve mükemmel arayüze sahiptir. Gerçek sistemlerde hafif gecikme ve küçük görsel hatalar normaldir.

5. Biyometrik ve Cihaz Kimliği Kullan

İşletmeler için CAPTCHA yerine biyometrik doğrulama (yüz tanıma, parmak izi) veya cihaz kimliği tabanlı sistemler tercih edilmeli. Bireysel kullanıcılar için ise, 2FA’ya güvenmek ve her girişte URL’yi kontrol etmek yeterlidir.

Sahte CAPTCHA saldırıları 2026’da, teknolojiyi değil, insan psikolojisini hedef alan bir "mükemmel fırtına" haline geldi. Lumma Stealer ve Microsoft script’leriyle birleştiğinde, bu saldırılar artık sadece küçük sitelerde değil, bankaların mobil uygulamalarında bile görülebilir. Tek çözüm: Güvenmek değil, sorgulamak. Çünkü bu kutucuk, seni korumak için değil, seni kandırmak için tasarlanmış olabilir.