Vedere i CAPTCHA è spesso un simbolo della sicurezza del sito Web, poiché fa sentire gli utenti più sicuri quando interagiscono con la pagina contenente quel CAPTCHA. Nonostante ciò, i criminali informatici hanno approfittato di tale fiducia creando CAPTCHA falsi e inducendo gli utenti a scaricare malware. Con questo in atto, la tattica funziona e in questo post facciamo più luce su come funziona e su come evitare di essere scoperti quando si esegue questo tipo di truffa.
Mentre alcuni hanno iniziato a utilizzare CAPTCHA per indurre le persone a fornire legittimità ai propri servizi a siti Web non autorizzati, alcuni programmi antivirus hanno notato che il tentativo è fallito. Gli utenti ignari vengono portati su tali siti e, quando vi arrivano, si trovano di fronte un CAPTCHA falso che sembra il più vicino possibile a quello reale. Questa tattica riduce i sospetti, poiché la maggior parte degli utenti è abituata al CAPTCHA che si trova su siti sicuri e professionali.
Perché dovresti aver paura dei CAPTCHA falsi
Inavvertitamente, la truffa inizia con l’utente che cerca software piratato, come videogiochi crackati. Questo potrebbe essere un sito che dice di avere ciò di cui hanno bisogno. Quando queste persone tentano di accedere al contenuto, appare un falso CAPTCHA. Una volta completato, vengono indirizzati a intraprendere ulteriori azioni, digitando particolari comandi chiave, che alla fine portano malware sul loro computer.
Il malware non viene scaricato finché non viene completato il falso CAPTCHA e non la domanda posta all’utente. Non è malvagio; si tratta di una piccola parte di uno schema più ampio volto a sottomettersi inconsapevolmente al codice dannoso. Dopo la comparsa del CAPTCHA, all’utente viene chiesto di premere Vinci + R, CTRL + VE Entra. Tutto questo è abbastanza innocuo, ma è l’ultimo passo di un’ingegnosa installazione di malware.
Il falso CAPTCHA prende gli appunti dell’utente e carica un file dannoso Script di PowerShell su di esso dietro le quinte. Incollare ed eseguire un comando, incluso Lumma Stealer, avvia il processo del malware senza che l’utente lo sappia. Questo malware è progettato per rubare dati personali dai dispositivi infetti e aggirare le protezioni antivirus.
Spiegare come individuare ed evitare CAPTCHA falsi
Per evitare questa trappola, non fidarti mai incondizionatamente di un CAPTCHA e, soprattutto, fallo solo quando ti trovi su un sito Web strano o sospetto. Ecco alcuni suggerimenti importanti da tenere a mente:
- I CAPTHAS non ti obbligano a scrivere cose. Se vedi un CAPTCHA che dice di premere scorciatoie da tastiera o eseguire alcuni comandi sul tuo PC, prendilo come un campanello d’allarme.
- I CAPTCHA semplici sono CAPTCHA legittimi. In genere, i veri CAPTCHA chiedono agli utenti di risolvere enigmi di base come selezionare immagini con un oggetto particolare o abbinare pezzi di puzzle. Non si tratta mai di passaggi che richiedono l’apertura di strumenti aggiuntivi come PowerShell.
- Fai attenzione ai siti di software piratati. I downloader illegali sono l’obiettivo principale di molti CAPTCHA dannosi. Se si scaricano contenuti piratati, il modo migliore per prevenire l’infezione da malware è evitare del tutto il download.
Questo è solo un esempio di una delle nuove svolte escogitate dai criminali informatici, motivo per cui non sono mai troppo sicuri quando emerge qualcosa di nuovo. Se ti metti volontariamente in questa trappola, fai attenzione ai segnali di pericolo di un CAPTCHA falso:
- Rimani vigile.
- Metti in discussione tutto ciò che suona strano o che non ti dice niente e vedi se il CAPTCHA è opportunamente fuori posto sul sito web in cui ti trovi.
- Procedi in sicurezza e sarai migliore dei truffatori.
Al giorno d’oggi, malware e CAPTCHA sono diventati incredibilmente pericolosamente intrecciati, con i criminali che utilizzano malware per diffondere CAPTCHA e viceversa. Rimanendo consapevole e aggiornato su queste tattiche subdole, puoi stare un passo avanti e proteggere te stesso e i tuoi dispositivi.
Credito immagine in primo piano: Furkan Demirkaya/IA di Gencraft
Source: I criminali informatici e il CAPTCHA
