Hai presente quella casellina con scritto Non sono un robot che incontri praticamente ovunque online? Quel piccolo test che ti chiede di cliccare semafori o attraversamenti pedonali prima di accedere a un sito? Ecco, i criminali informatici hanno trasformato uno degli strumenti di sicurezza più diffusi del web in un’arma silenziosa. E il bello, o meglio il terribile, è che funziona proprio perché ci fidiamo ciecamente. Le truffe con CAPTCHA falsi stanno proliferando in tutta Europa, Italia compresa, sfruttando un meccanismo psicologico perfetto: imitano qualcosa di così familiare e apparentemente innocuo che abbassiamo completamente le difese. Secondo i dati più recenti, questi sistemi fasulli sono utilizzati da oltre 11 milioni di siti web compromessi o creati ad arte per distribuire malware. Non si tratta di una minaccia marginale, ma di una tecnica criminale scalabile e in rapida diffusione.
Ma come funziona esattamente questa truffa? E soprattutto, come puoi riconoscerla prima che sia troppo tardi? Per capire l’inganno, partiamo dalle basi. Un CAPTCHA autentico è un test progettato per distinguere gli esseri umani dai bot automatizzati. L’acronimo sta per Completely Automated Public Turing test to tell Computers and Humans Apart, un nome volutamente ingombrante che giustifica l’abbreviazione. Questi test proteggono i siti web dallo spam, dagli account falsi e dagli attacchi automatizzati presentando piccoli rompicapi che le persone risolvono facilmente ma che risultano ostici per i programmi. La versione più diffusa oggi è reCAPTCHA di Google, che spesso si limita a una semplice casella Non sono un robot. Dietro quella semplicità apparente c’è un sofisticato sistema di analisi: mentre tu clicchi, l’algoritmo studia i tuoi movimenti del mouse, i tempi di reazione e decine di altri parametri per stabilire se sei umano. Tutto avviene in background, senza sforzo da parte tua. È proprio questa familiarità, questa routine quotidiana, che i truffatori hanno deciso di sfruttare.
I CAPTCHA falsi copiano l’aspetto di quelli autentici con precisione millimetrica. La grafica è identica, il posizionamento credibile, il messaggio rassicurante. Ma c’è una differenza cruciale: invece di limitarsi a verificare la tua umanità, ti chiedono di fare qualcosa in più. Qualcosa che un CAPTCHA legittimo non ti chiederebbe mai. La tecnica più diffusa funziona così: arrivi su una pagina che sembra richiedere una verifica standard. Clicchi sulla casella, ma il sistema ti informa che serve un ulteriore passaggio di verifica. A questo punto compare un messaggio che ti invita a premere i tasti Windows+R sulla tastiera, quelli che aprono la finestra di dialogo Esegui di Windows. Il messaggio spiega che devi incollare un comando specifico in quella finestra per completare la verifica.
Quello che non ti dicono è che il comando è già stato copiato automaticamente nei tuoi appunti. Basta che tu prema Ctrl+V e Invio, seguendo le istruzioni, e il gioco è fatto: hai appena lanciato manualmente l’installazione di un malware sul tuo computer. Alcuni siti sono diventati così sofisticati da includere veri e propri video tutorial che ti guidano passo dopo passo. Come in un manuale di istruzioni IKEA per montare un virus. Il paradosso è grottesco ma efficace: le vittime seguono diligentemente i passaggi pensando di risolvere un problema tecnico, quando in realtà stanno spalancando le porte di casa ai ladri.
Quali minacce si nascondono dietro questi CAPTCHA truccati? Il panorama è vario e preoccupante. Molte truffe installano infostealer, programmi specializzati nel furto di dati sensibili. Software come Lumma Stealer sono progettati per raccogliere password salvate nei browser, cookie di sessione, credenziali di accesso e persino chiavi private di portafogli di criptovalute. Tutto viene inviato silenziosamente ai server dei criminali mentre tu continui a navigare inconsapevole. Altri payload comuni sono i trojan di accesso remoto come AsyncRAT, SecTopRAT o XWorm. Questi strumenti permettono agli hacker di controllare il tuo computer da remoto: possono sfogliare i tuoi file, attivare webcam e microfono, monitorare ciò che digiti e persino usare il tuo sistema come punto di accesso per infiltrarsi nelle reti aziendali. Se lavori da casa o accedi a sistemi del tuo datore di lavoro, le conseguenze possono estendersi ben oltre il tuo dispositivo personale.
Le tecniche utilizzate sono sempre più sofisticate. Alcuni attacchi nascondono le istruzioni dannose in comandi PowerShell o script mshta.exe, rendendoli difficili da individuare anche per chi ha competenze tecniche. Altri sfruttano il contrabbando di file, nascondendo malware all’interno di formati apparentemente innocui come MP3 o JPG. Esiste anche l’esecuzione senza file, in cui il codice dannoso viene eseguito interamente nella memoria RAM senza mai toccare il disco rigido, lasciando pochissime tracce per gli antivirus tradizionali. Come si diffondono questi CAPTCHA fasulli? Le vie d’infezione sono molteplici. Molti arrivano tramite email di phishing che sembrano provenire da servizi legittimi: una notifica di consegna, un avviso bancario, un messaggio da un social network. Il link nell’email ti porta a una pagina che imita perfettamente il sito originale, completa di CAPTCHA falso.
Altri casi coinvolgono siti web legittimi che sono stati compromessi. Gli hacker inseriscono pop-up o redirect che portano alle pagine trappola. Potresti trovarti su un blog che segui da anni, cliccare su un link interno e finire su un CAPTCHA malevolo senza nemmeno accorgertene del passaggio. Come distinguere un CAPTCHA autentico da uno falso? Ci sono alcuni segnali che dovrebbero farti alzare le antenne. Primo: un CAPTCHA legittimo non ti chiede mai di download nulla, non ti invita a incollare comandi, non ti chiede di aprire la finestra Esegui di Windows o il Terminale su Mac. Il suo unico scopo è verificare che tu sia umano, non farti compiere azioni sul sistema operativo.
Secondo: controlla sempre l’indirizzo del sito. Se ti trovi su un dominio strano, con caratteri casuali o nomi che imitano malamente marchi noti, sei probabilmente su una pagina trappola. Un URL come js3820underscore_xxZhry.strangesite-name.yzx non è mai un buon segno. I CAPTCHA autentici appaiono su domini riconoscibili e consolidati. Terzo: diffida dei pop-up. I CAPTCHA legittimi sono quasi sempre integrati nella pagina principale del sito, non compaiono in finestre separate o sovrapposte. Se il test di verifica appare in un pop-up inaspettato, chiudi tutto immediatamente. Quarto: se il CAPTCHA ti chiede di abilitare le notifiche del browser per continuare, è quasi certamente una truffa. Questo è un altro trucco comune per ottenere il permesso di inviarti spam o messaggi dannosi anche dopo che hai lasciato il sito. Cosa fare se hai cliccato su un CAPTCHA falso e seguito le istruzioni? Il tempo è fondamentale. Chiudi immediatamente la scheda del browser e, se possibile, disconnetti il computer da Internet. Questo impedisce al malware di comunicare con i server di comando e controllo o di diffondersi ad altri dispositivi della rete.
Esegui una scansione completa con un antivirus aggiornato. Non limitarti a una scansione rapida: serve un controllo approfondito di tutto il sistema. Se l’antivirus rileva minacce, segui le indicazioni per rimuoverle completamente. Considera l’utilizzo di strumenti specializzati anti-malware, che spesso catturano minacce sfuggite agli antivirus tradizionali. Elimina tutti i file scaricati di recente che non riconosci. Controlla la cartella Download e qualsiasi posizione temporanea dove potrebbero essere finiti file sospetti. Svuota anche il cestino dopo l’eliminazione. Modifica tutte le password importanti, ma fallo da un dispositivo che sai essere sicuro. Se il tuo computer è stato compromesso, cambiare le password mentre sei ancora sullo stesso sistema potrebbe semplicemente consegnare ai criminali anche le nuove credenziali. Usa uno smartphone pulito o un altro computer per questa operazione.
Monitora gli estratti conto bancari e le carte di credito per transazioni sospette. Se sono stati installati infostealer, potrebbero aver catturato dati finanziari. Molte banche offrono notifiche in tempo reale per ogni transazione: attivale. Considera la possibilità di informare l’ufficio IT della tua azienda se il computer infetto è quello di lavoro o se lo usi per accedere a risorse aziendali. Una singola infezione può diventare il punto d’ingresso per attacchi ben più vasti. Per proteggerti in futuro, adotta alcune precauzioni semplici ma efficaci. Mantieni sempre aggiornati sistema operativo, browser e software antivirus. Gli aggiornamenti includono spesso patch per vulnerabilità sfruttate da questo tipo di attacchi. Configura il tuo browser per limitare i permessi automatici: disabilita l’esecuzione automatica di JavaScript su siti sconosciuti e richiedi conferma manuale per download e notifiche.
Usa un gestore di password affidabile. Oltre a rendere le tue credenziali più sicure, questi strumenti compilano automaticamente i dati di accesso solo sui siti legittimi. Se arrivi su una copia falsa di un sito che conosci, il gestore non riconoscerà il dominio e non compilerà nulla: un segnale d’allarme immediato. Abilita l’autenticazione a due fattori ovunque possibile. Anche se un criminale ottiene la tua password, avrà bisogno del secondo fattore per accedere davvero ai tuoi account. Preferisci app di autenticazione o chiavi hardware ai messaggi SMS, che possono essere intercettati. Sviluppa un sano scetticismo verso richieste insolite. Se un CAPTCHA ti chiede di fare qualcosa che va oltre cliccare immagini o digitare testo distorto, fermati e rifletti. Quando qualcosa sembra strano, probabilmente lo è.
