La sicurezza di qualcosa che noi tutti conosciamo sfruttata per commettere truffe ai danni degli utenti
Dal Mondo – Negli ultimi anni la tecnologia CAPTCHA come strumento anti-bot pensato per proteggere i siti web da accessi automatizzati, è diventato un mezzo molto sfruttato dai criminali informatici per orchestrare truffe e diffondere malware con tecniche ingegnose che ingannano anche l’utente più attento. Analizzare in profondità questo fenomeno è oggi è fondamentale importanza sia per gli utenti sia per i professionisti della sicurezza informatica.
Facciamo una distinzione tra chi sono le vittime e i responsabili
I bersagli principali di queste nuova tipologia di truffa sono utenti comuni, aziende, enti pubblici e privati che navigano online, soprattutto alla ricerca di documenti PDF, moduli o guide, ma anche chi accede abitualmente a piattaforme bancarie, portali istituzionali o servizi cloud, piattaforme social e molti altri servizi.
Le vittime spesso non hanno una formazione specifica in ambito di cyber security e vengono attratte su pagine fraudolente tramite link nei motori di ricerca, annunci sponsorizzati, mail di phishing o sms smishing.
I responsabili sono gruppi organizzati di cyber criminali, spesso dediti alle campagne di diffusione malware come Lumma Stealer, Vidar e altre varianti di infostealer, capaci di rubare dati dai browser, dai wallet di criptovalute, e persino dai servizi di autenticazione multi fattore.
Vediamo adesso cosa sono le truffe tramite CAPTCHA e come funzionano?
Le “CAPTCHA scam” si servono di sistemi di verifica apparentemente legittimi—come il celebre riquadro “Non sono un robot” che nascondono script dannosi, spesso realizzati in linguaggi di programmazione JavaScript o PowerShell.
Ecco le principali modalità di attacco:
Phishing su pagine clone: Vengono create pagine identiche a quelle di servizi noti (banche, INPS, mail provider, ecc.), al cui interno è inserito un CAPTCHA falso. L’utente, fidandosi della procedura, lo completa attivando così un codice malevolo che copia nelle proprie clipboard un comando pronto per installare un payload malware ossia una software malevolo all’interno del proprio pc.
Campagne di malvertising: Attraverso annunci pubblicitari fuorvianti che rimandano a falsi CAPTCHA, spesso tramite SEO poisoning, l’utente viene indotto a eseguire passaggi specifici, come aprire una finestra di comando e incollare contenuti, installando così uno stealer in maniera del tutto silente, che entra in azione nel momento in cui i criminali informatico decide di farlo avviare.
Distribuzione via PDF e repository: Documenti PDF contenenti finte schermate di verifica spingono l’utente a visitare siti compromessi o inserire dati sensibili attraverso moduli CAPTCHA falsificati, colpendo in modo particolare chi cerca manuali, guide, appunti per lo studio o moduli di richiesta.
La forte somiglianza visiva con sistemi autentici rende questa truffa insidiosa e difficile da individuare in quanto sfrutta qualcosa che apparentemente entra nello standard di sicurezza tipico dei servizi che ognuno di noi utilizza.
Alcuni esempi reali hanno coinvolto pagine bancarie (ad esempio in Grecia), siti cloud e portali come Telegram, con il malware che punta sia alle credenziali che ai dati di pagamento.
Da quando e in che contesto è esploso il fenomeno?
Il fenomeno ha avuto una crescita esponenziale a partire dall’agosto del 2024 e si è intensificato per tutto il 2025, seguendo il trend delle campagne di stealer in Europa, Nord America e Asia.
Secondo fonti come Netskope e DNSFilter, tra la seconda metà del 2024 e la primavera 2025 sono stati monitorati migliaia di incidenti e oltre 1.150 organizzazioni colpite, con oltre 20.000 utenti solo in Italia, Spagna, Brasile e Russia reindirizzati verso pagine CAPTCHA truccate.
Le campagne si sviluppano soprattutto nei periodi in cui crescono attività digitali: ferie estive, riapertura delle scuole, aggiornamenti normativi o fiscali, bonus governativi, pubblicazione di nuovi moduli da compilare online.
Dove avvengono le truffe, online e offline?
Le truffe si diffondono principalmente:
Su siti web compromessi, inclusi portali istituzionali e bancari.
Su piattaforme cloud e CDN, come Webflow, GoDaddy, Wix e Fastly, utilizzate per veicolare PDF e file malevoli tramite phishing.
Attraverso repository di PDF—ad esempio pdfcoffee, pdf4pro, internet archive—che ospitano file infetti relativi a guide, manuali o moduli.
Nei canali social, tramite spam di link, campagne malvertising e descrizioni fraudolente nei video di TikTok, YouTube ecc..
Le vittime possono accedere a queste trappole da qualsiasi dispositivo: PC, smartphone, tablet, con particolare focus sui sistemi Windows, dove PowerShell è più facilmente sfruttabile.
Ma perché le truffe CAPTCHA sono così pericolose e diffuse?
I motivi della diffusione sono molteplici:
Adozione universale: I CAPTCHA sono considerati uno standard di sicurezza e quindi ispirano fiducia negli utenti.
Difficoltà di riconoscimento: Le differenze tra CAPTCHA autentico e fake spesso sono minime (font, piccoli errori, layout), inducendo a errore l’utente medio.
Vettore per infostealer e reverse shell: Una volta avviato, il comando distribuito dalla pagina falsa permette ai cybercriminali di rubare credenziali, informazioni personali, dati bancari ed estrarre criptovalute dai wallet.
Campagne multi-vettore: L’aggressione avviene tramite SEO poisoning, malvertising, smishing (SMS di phishing), watering hole attacks, sfruttando più canali simultanei per colpire il maggior numero di dispositivi.
I cybercriminali trovano così un sistema efficace, poco rumoroso e capace di superare persino le difese dei browser più aggiornati o degli antivirus meno reattivi.
Come difendersi dalle truffe CAPTCHA
L’approccio migliore per difendersi consiste in:
Educazione digitale: Riconoscere i segnali di pagine phishing, errori minimi nei layout, richieste insolite di copia-incolla o apertura di strumenti amministrativi deve far pensare prima di eseguire e destare sospetto.
Aggiornamento software e browser: Mantenere aggiornata la propria suite di sicurezza Antivirus e utilizzare browser sempre aggiornati all’ultima versione che bloccano script malevoli già conosciuti.
Diffidenza verso richieste non standard: La richiesta di inserire comandi in PowerShell o aprire finestre di esecuzione dovrebbe sempre far scattare un campanello d’allarme.
Utilizzo di estensioni anti-phishing e DNS protetti: Filtri DNS evoluti sono capaci di intercettare pagine malevole prima che l’utente possa interagire con esse.
Segnalare alle autorità: In caso di dubbio, segnalare la pagina sospetta agli enti di competenza come il CERT-AGID o l’NCSC ed anche ai propri contatti al fine di informare sui potenziali rischi ed evitare che ci possano diventare vittime inconsapevoli.
Conclusioni
L’esplosione delle truffe tramite CAPTCHA è un fenomeno di cybercrime in forte crescita, alimentato dalla fiducia che molti utenti ripongono in tecnologie di sicurezza ormai diffuse e apparentemente innocue. Solo l’informazione, la formazione e l’attenzione ai dettagli possono rappresentare un vero deterrente, mentre la collaborazione tra professionisti della sicurezza e cittadini digitali è l’unica via per limitare i danni e prevenire il furto di dati, identità e risorse finanziarie. Navigare on line con consapevolezza è la strada giusta per affrontare al meglio le sfide che riservano la rete e le nuove tecnologie.
Credit: AI-generated image – OpenAI (DALL·E)