La rete è spesso teatro di inganni sofisticati, e tra le ultime minacce emerse c’è la truffa del falso CAPTCHA. Questo schema inganna gli utenti sfruttando i tradizionali sistemi di verifica online utilizzati per confermare che si è umani e non robot. I criminali informatici utilizzano questa tecnica per diffondere malware sui dispositivi delle vittime, rendendo necessario prestare massima attenzione durante la navigazione.
Secondo Kaspersky, questa campagna malevola ha già colpito decine di migliaia di utenti in diversi Paesi, tra cui Brasile, Russia, Spagna e Italia. Gli attacchi mirano principalmente agli utenti di Windows, senza risparmiare altre categorie, inclusi i gamer.
Come funziona l’inganno del falso CAPTCHA
Il funzionamento è semplice ma insidioso. L’utente, navigando su un sito, potrebbe imbattersi in un banner apparentemente legittimo. Cliccando accidentalmente sul banner, si viene reindirizzati a una falsa pagina CAPTCHA. Qui, dopo aver selezionato l’opzione “Non sono un robot”, un comando PowerShell viene copiato negli appunti del dispositivo.
Successivamente, la truffa induce l’utente a incollare il comando in una directory specifica e a premere “invio”. L’azione, che appare come parte del test CAPTCHA, porta invece all’installazione del malware Lumma, progettato per rubare dati sensibili, come credenziali di accesso e informazioni personali.
Un’altra variante della truffa è stata individuata su siti di file sharing, community e piattaforme per adulti. In questo caso, l’utente riceve un messaggio che imita una finestra di errore di Google Chrome, invitandolo a risolvere un presunto problema copiando un file. Anche qui, si tratta dello stesso schema: l’esecuzione del comando installa il malware, aprendo le porte al controllo remoto del dispositivo da parte degli hacker.
Come proteggersi dalla truffa del falso CAPTCHA
Ecco alcune precauzioni per evitare di cadere vittima di questa truffa:
- Evitare banner sospetti: non cliccare su annunci o popup che sembrano fuori contesto o troppo insistenti;
- Non seguire istruzioni non richieste: non incollare mai comandi o file in cartelle del computer senza verificarne la fonte;
- Aggiornare software di sicurezza: mantenere antivirus e sistema operativo sempre aggiornati;
- Ignorare messaggi sospetti del browser: non fidarsi di avvisi che richiedono azioni manuali insolite, come l’inserimento di comandi per risolvere problemi.
Adottare queste misure può ridurre significativamente il rischio di cadere in inganni di questo tipo e proteggere i propri dati.
