Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- I CAPTCHA dannosi stanno diventando sempre più popolari come esca.
- Il loro utilizzo è aumentato del 563% rispetto al 2025.
- Individuare un CAPTCHA falso può essere difficile, ma ecco come.
I CAPTCHA possono essere fastidiosi, ma forniscono un livello di verifica dell’utente che può aiutare i servizi Net a difendersi da una serie di minacce informatiche.
Sfortunatamente, possono anche essere utilizzati come esche dannose per prendere di mira i visitatori e sembrano diventare l’arma preferita dai moderni criminali informatici.
Inoltre: ordinare un nuovo telefono? Attenzione a questa truffa convincente che colpisce subito dopo
Secondo CrowdStrike Rapporto sulle minacce globali 2026pubblicato martedì, i falsi CAPTCHA vengono adottati a una velocità vertiginosa da aggressori che sperano di compromettere i vostri dispositivi. Negli ultimi due anni, la loro popolarità è aumentata al punto che le esche dannose per gli aggiornamenti dei browser vengono ritirate a loro favore.
Cos’è un CAPTCHA?
Un CAPTCHA, altrimenti noto come il prolisso “Check di Turing pubblico completamente automatizzato per distinguere pc ed esseri umani”, è un meccanismo di sfida e risposta presente sui siti internet.
I CAPTCHA rappresentano una sfida che distingue tra visitatori umani e robotici di un sito Net, di una risorsa o di un servizio on-line. Queste sfide possono assumere la forma di puzzle visivi. Oppure potresti dover digitare una parola o una serie di lettere e numeri che sono stati distorti per rendere difficile la corretta identificazione da parte dei robotic. Potrebbe anche esserti chiesto di tenere premuto un pulsante per un determinato periodo di tempo per dimostrare che sei umano.
Anche: La metà di tutti gli attacchi informatici iniziano dal tuo browser: 10 consigli essenziali per restare al sicuro
Questi meccanismi sono stati inizialmente progettati per impedire a bot e agenti robotici di inviare spam a discussion board e piattaforme di siti Net con messaggi e risposte automatizzati, ma si sono estesi per bloccare tentativi di accesso con password con forza bruta, acquisti o iscrizioni di massa automatizzati, scraping e per fermare attacchi on-line basati su bot.
Sono frustranti, è vero, soprattutto quando il sistema non riesce a verificare che tu sia umano durante il primo esercizio, il che potrebbe significare che devi completare uno o due enigmi in più. Questo è particolarmente un problema se hai esigenze di accessibilità. Tuttavia, ora fanno parte della vita on-line e forniscono un livello di protezione per i siti Net che devono affrontare minacce automatizzate.
I risultati di CrowdStrike
Secondo il rapporto di CrowdStrike, l’anno scorso molti criminali informatici hanno abbandonato le esche di phishing legate agli aggiornamenti del browser per dedicarsi a false tattiche CAPTCHA.
Rispetto ai dati sugli eventi di sicurezza del 2024, il crew di ricerca ha segnalato un aumento del 563% delle esche CAPTCHA nel 2025, rispetto alle esche di aggiornamento del browser.
Uso criminale di esche di aggiornamento del browser dannose e di esche CAPTCHA false, da gennaio 2024 a dicembre 2025
CrowdStrike
Perché i CAPTCHA vengono utilizzati come strumenti criminali informatici?
Esiste un’ampia varietà di finestre e meccanismi CAPTCHA e gli autori delle minacce sfruttano questa mancanza di uniformità.
Fondamentalmente, i CAPTCHA dannosi vengono utilizzati per indurre una vittima a eseguire un’azione che comporta il obtain e l’esecuzione di malware o la visita a un sito Net dannoso. Possono includere istruzioni a livello di sistema, collegamenti per deviare il traffico degli utenti o persino codici QR che ti invieranno a un dominio di phishing.
Le campagne criminali informatiche che coinvolgono CAPTCHA dannosi sono più comunemente affiliate all’implementazione di trojan, ladri di informazioni e adware.
Come individuare i CATPCHA falsi e cosa fare dopo
Molto spesso, le finestre CAPTCHA false vengono utilizzate per cercare di indurre la vittima advert hackerare se stessa.
È un metodo di ingegneria sociale che si concentra su coloro che sono meno esperti di tecnologia. Se hai mai sentito parlare di Clickfix, si tratta dello stesso principio: visualizzare un avviso che richiede di agire, abusare della nostra capacità di risolvere problemi, fornire una serie di istruzioni e indurre qualcuno a scaricare lui stesso un pacchetto dannoso, preferibilmente rimanendo sotto il radar.
Ecco come funzionano. Un CAPTCHA falso appare su un sito Net compromesso o sospetto. Invece di un puzzle o un gioco di parole, ti verrà chiesto di verificare in un altro modo di non essere un robotic e ciò implica seguire una serie di istruzioni.
Anche: L’intelligenza artificiale ora può risolvere i check reCAPTCHA nel modo più accurato possibile
Per semplificare la verifica, queste istruzioni sono suddivise in semplici istruzioni e richiedono solo di copiare e incollare un messaggio nella finestra di dialogo Esegui di Home windows (Win + R) o in un terminale. Sfortunatamente, questo eseguirà PowerShell e scaricherà un payload dannoso sul tuo sistema.
Dato che hai avviato tu stesso il obtain a livello di sistema, le protezioni anti-phishing customary non ti aiuteranno.
Potresti anche riscontrare “errori” in una finestra CAPTCHA che ti chiede di visitare una pagina Net diversa, con un collegamento a un dominio contraffatto o di phishing fornito, per accedere al contenuto che stavi tentando di raggiungere.
L’autore di ZDNET Ed Bott ha seguito le tracce di un falso CAPTCHA (nota: non provarlo a casa), e nel suo esempio, il falso CAPTCHA mostrava il familiare emblem di Cloudflare e affermava che period stato rilevato traffico insolito. L’avviso CAPTCHA mostrava una serie di istruzioni di Home windows che chiedevano all’utente di copiare e incollare un’istruzione della riga di comando per scopi di “verifica manuale”.
Anche: Ho cliccato apposta su quattro subdole truffe on-line, per mostrarti come funzionano
Gli utenti ignari eseguirebbero l’istruzione e scaricherebbero involontariamente un payload sul proprio PC, Il trojan:PowerShell/FakeCaptchache poi ruberebbe informazioni dalla macchina.
Per evitare di cadere in un CAPTCHA falso, ecco alcuni consigli:
- Non eseguire alcun comando a livello di sistema richiesto on-line. Molto probabilmente è un tentativo di truffarti. Ciò embrace eventuali istruzioni di copia e incolla. Qualsiasi cosa che vada oltre un fastidioso enigma o un esercizio di lettere non vale il rischio per la tua sicurezza e privateness.
- Se un messaggio CAPTCHA ti chiede di eseguire qualcosa, semplicemente non farlo.
- Mantieni aggiornato il tuo browser e abilita la scansione internet in tempo reale. Anche se questo potrebbe non impedirti di incontrare CAPTCHA falsi, potresti essere avvisato se il tuo browser rileva una finestra dannosa o un sito Net di phishing.
- Niente panico. I criminali informatici cercheranno di spaventare gli utenti inducendoli a eseguire un’azione rapidamente invece di fare un passo indietro e considerare se un avviso è reale o meno. Se ti imbatti in una visualizzazione di errore o in un messaggio di azione urgente, prenditi qualche secondo per pensare a quanto sia autentico (probabilmente non lo è). Successivamente, chiudi la scheda.
- Prendi in considerazione l’utilizzo di un blocco degli annunci. Non sempre cattureranno i popup di phishing o i CAPTCHA falsi, ma potrebbero aiutarti e, almeno, ripuliranno la tua esperienza di navigazione.
- Strani collegamenti URL, errori di ortografia e scelte strane di parole possono indicare che stai affrontando un’esca CAPTCHA. Sii cauto.
- Leggi la nostra guida e i migliori suggerimenti per la sicurezza e l’igiene del browser per mantenere il tuo sistema sicuro.
