Sicurezza: L’ultima truffa Captcha “Dimostra di essere un utente umano”

Parliamo di ultime novità in termini di sicurezza e dei nuovi tentativi criminali informatici per indurre le persone a scaricare malware o fornire informazioni. Tra le tecniche escogitate per il furto di dati sensibili, risulta interessante e creativa, e assolutamente da non sottovalutare, la truffa del falso captcha.

In questo tipo di attacco, la vittima viene spinta a eseguire un malware sul proprio dispositivo con il finto scopo di mostrare di essere un utente umano, sfruttando pertanto tecniche di ingegneria sociale in maniera particolarmente innovativa nel settore del cyber attack.

Secondo il Laboratorio delle minacce di AVG, questo tipo di attacco ha generato una protezione del noto antivirus, per circa 2.1 milioni di utenze, con l’Italia tra i paesi maggiormente colpiti, insieme a Spagna, Argentina e Filippine.

Questa truffa del “Dimostra di essere un utente umano” prende il via da metodi più classici di phishing, malvertising e altri, i criminali tendono una vera e propria trappola agli utenti, inducendoli verso un sito compromesso, all’interno del quale dovrà dimostrare di essere realmente umano: basterà cliccare il pulsante per iniziare per installare uno script malevolo sul proprio PC o dispositivo che viene incollato negli appunti.

Questa verifica Captcha chiede quindi all’utente di aprire una finestra di Esegui sul PC e di incollare lo script copiato, per poi eseguirlo. A quel punto il malware viene scaricato. L’utente viene ingannato in una maniera ignobile: sta cercando di trasmettere sicurezza alla verifica Captcha e dimostrare di essere umano, e, di contro, viene violata la propria sicurezza.

Proteggersi dalla truffa Captcha “Dimostra di essere un utente umano”

Come proteggersi quindi da questa truffa che adopera tecniche subdole per impadronirsi di nostri dati sensibili e installare nei nostri preziosi dispositivi malware dannosi?

Come prima cosa sarà bene, ma questo sempre, valutare il sito su cui si atterra, non è difficile capire quando la pagina web che si sta visitando è compromessa. Prestare massima attenzione quando si clicca su annunci pubblicitari o link online, specie se provenienti da mail sospette che hanno sconfitto l’anti-spam.

Sicuramente, la funzione Esegui dei PC non andrebbe mai usata se non si è competenti e non si è sicuri di quello che si stafacendo. Quando ci viene richiesto di eseguire uno script, dobbiamo semplicemente declinare la richiesta, perché la funzione Esegui del PC va ad agire direttamente nei file di sistema, con ovvie conseguenze di malfunzionamenti o vulnerabilità.

Cercate inoltre di farvi furbi, quando una verifica Captcha, che chiede di dimostrare di essere utenti umani, vi fa una richiesta che potrebbe tranquillamente essere eseguita da qualsiasi bot, o in maniera automatica o riempitiva, con ogni probabilità non è funzionale, quindi sospetta.

Adoperate con attenzione il copia-incolla, quando vi chiedono di fare “Control+V”, cercate sempre di capire se quello che state incollando potrebbe essere qualcosa di almeno un po’ sospetto. Se incollate qualche script che potrebbe avere anche un semplice alone di sospetto, basterà fare una scansione del PC per mettere tutte le cose al loro posto.