Pillole di sicurezza informatica

Pillole di sicurezza informatica

Quando “non sono un robot” non basta più

Ci sarà sicuramente capitato, navigando online, di dover fare un click su “Non sono un robot”, con un’immagine da selezionare o una casella da spuntare: è questo il piccolo rituale che ci separa dai bot (abbreviazione di robot, ossia un programma informatico che esegue automaticamente delle operazioni al posto di una persona), quando navighiamo online.

In realtà, quel controllo — noto come reCAPTCHA (acronimo di Completely Automated Public Turing test to tell Computers and Humans Apart) o più in generale “test CAPTCHA” — è solo l’ultima barriera protettiva contro automazioni, bot e abusi digitali.

Dietro quel click c’è una logica: il sistema analizza comportamenti, tempi, movimenti, talvolta addirittura impronte del dispositivo, per decidere se chi sta interagendo è un umano o un software.
Negli ultimi mesi, però, qualcosa è cambiato: le automazioni sono diventate più intelligenti e i controlli, seppur evoluti, faticano a tenere il passo.

In questa pillola cerchiamo di scoprire come funzionano gli attacchi che aggirano i CAPTCHA, quali casi recenti sono emersi dalla cronaca e cosa possono fare le aziende — dalle mPMI alle grandi imprese — per non trovarsi oggi vulnerabili.

Il “captcha malevolo” è una trappola di ingegneria sociale (vedi le nostre pillole precedenti), che sfrutta l’aspetto familiare del controllo “sei umano” per convincere la vittima a compiere azioni pericolose.

In parole semplici: l’attaccante mostra all’utente qualcosa che sembra un controllo legittimo (un box da cliccare, un falso player video che chiede di verificare, o un popup con istruzioni) e poi convince la persona a scaricare o eseguire un file.

Perché la trappola funziona?

·        Affidamento alla routine: gli utenti sono abituati a vedere CAPTCHA e ad eseguirli senza pensarci troppo.

·        Urgenza/paura: messaggi che dicono “verifica per continuare” o “download necessario per visualizzare” spingono l’utente ad agire in fretta.

·        Aspetto familiare: imitare il design di servizi noti riduce i sospetti (logo, colori, testo simile).

·        Sovraccarico informativo: la pagina può essere confusa o avere molte finestre, così l’utente segue l’azione più evidente (clic sul pulsante).

·        Social proof: elementi che fanno sembrare l’azione normale (es. “migliaia di utenti hanno già verificato”).

Come riconoscere i segnali d’allarme?

·        Il “captcha” compare su pagine non correlate (es. siti che non richiedono mai registrazione o verifiche).

·        Dopo il clic ti viene chiesto di scaricare un file eseguibile (.exe, .msi, .dmg) o di aprire un installer.

·        Apparizione di pop-up che richiedono permessi insoliti (es. installare estensioni, consentire notifiche, cambiare impostazioni del browser).

·        Errori di lingua, traduzioni approssimative, o grafica scadente mentre il “captcha” dovrebbe essere professionale.

·        Richieste di inserire password o codici 2FA dentro la stessa schermata del captcha.

Come proteggersi:

·        Non scaricare eseguibili per “verificare” l’accesso a un sito: i controlli legittimi non chiedono di installare programmi.

·        Verificare sempre il dominio nella barra URL e chiudere la pagina se qualcosa sembra strano.

·        Non concedere permessi al browser (estensioni, notifiche) se non sei sicuro della fonte.

·        Tenere sistema operativo, browser e antivirus aggiornati.

·        Usare estensioni o impostazioni che bloccano i pop-up e i reindirizzamenti automatici

·        Per utenti aziendali: segnalare subito l’evento al reparto IT e non tentare di “risolvere da soli”.

Ecco una checklist di controllo:

·        Il sito ti chiedeva di scaricare un file per verificare? — Attenzione.

·        Il dominio non corrisponde? — Chiudi e segnala.

·        Ti è stato chiesto di inserire la password nello stesso popup? — Non farlo.

·        Hai già aggiornato browser e antivirus recentemente? — Fondamentale.

Concludendo

«Non è raro imbattersi in una finestra che sembra chiedere “sei umano?”, ma dietro quell’apparenza familiare può nascondersi una trappola. Nei casi più insidiosi, il controllo chiede all’utente di scaricare un file o di installare un’estensione: un’azione che, se compiuta senza verificarne la fonte, può trasformare il terminale in una porta d’ingresso per malware. La regola d’oro è semplice: i controlli legittimi non ti chiedono di installare programmi per vedere una pagina.»

Per chi vuole approfondire:

https://www.federprivacy.org/informazione/societa/attenzione-ai-falsi-captcha-che-installano-un-malware-in-grado-di-rubare-dati-sensibili-e-criptovalute