Falso codice Captcha truffa gli utenti delle banche online
Sai riconoscere il falso codice Captcha? Questo virus potrebbe rubarti tutti i dati e danneggiare il tuo dispositivo mobile o fisso. Ecco come difenderti
Il phishing può assumere tante facce: si va dalle false email delle banche e degli ereditieri nigeriani ai messaggi su WhatsApp di fantomatici pacchi Amazon in attesa di ritiro. Ultimamente si presenta anche sottoforma di falso Captcha, ossia quel sistema ideato da Google che permette ai portali web di riconoscere un utente in carne e ossa da un bot ed evitare così attacchi DDoS.
Nelle ultime settimane questo sistema viene sfruttato da un gruppo di hacker come “leva psicologica”. Grazie al falso Captcha, gli utenti sono convinti di navigare su un sito affidabile e pronti a fornire le loro informazioni personali o scaricare file presenti nell’email o nella pagina web. La nuova truffa si rivela particolarmente insidiosa perché il falso codice Captcha è graficamente molto simile a quello di Google e, quindi, particolarmente convincente. Le vittime sono gli utenti delle banche online. Vediamo nel dettaglio come funziona e come difendersi.
Falso codice Captcha: come riconoscere la truffa online
Secondo gli esperti di Sucuri, questo schema phishing è stato utilizzato per la prima volta in Polonia, ma non è da escludere che nel frattempo si sia diffuso nel resto d’Europa e del mondo. In questo caso, l’utente riceve un’e-mail dove è richiesto di cliccare su un link interno al testo. Questa modalità di truffa – clic su link – non è certamente una novità nel campo del phishing, ciò che è inusuale è la fase successiva.
Infatti, se la vittima non si accorge che l’e-mail è una truffa e clicca sul link, non atterra su una pagina del tutto simile alla Home della Banca online, come succede di solito. Al contrario, l’utente viene spedito su una pagina di verifica, in cui deve superare un test Captcha che graficamente è molto simile a quello utilizzato da Google.
Il finto codice Captcha mostra all’utente la classica serie di 9 fotografie e chiede di cliccare solo su quelle che ritraggono autobus. Una volta passato il test l’utente viene apparentemente reindirizzato verso una pagina di errore 404, ma in realtà si avvia il download di un file malevolo che apre le porte agli hacker e consente loro di inviare altri malware realizzati per spiare la loro attività online.
La truffa del falso codice Captcha viaggia anche su mobile
La truffa del falso codice Captcha viaggia anche su dispositivi mobili Android. Alcuni esempi del malware sono stati caricati su VirusTotal, in modo da renderli subito riconoscibili e mettere adeguatamente in guardia gli utenti. Il virus colpisce soprattutto gli smartphone dove, una volta ottenuto l’accesso, è in grado di leggere posizione e contatti presenti nel dispositivo mobile. Inoltre, riesce addirittura a inviare messaggi, effettuare telefonate e rubare informazioni sensibili.
