In una mail mandata ai suoi dipendenti, il Comune di Milano segnala il pericolo di un particolare tipo di truffa informatica, che spinge l’utente stesso a installare un virus sul proprio computer. Una sequenza di tasti richiesta da un qualsiasi sito internet per dimostrare di non essere un robot, un finto Captcha che porta a infettare il proprio computer.
Questo tipo di virus è molto rischioso per i privati, ma possono diventare disastrosi per le amministrazioni pubbliche e le aziende. Basta un click per perdere potenzialmente l’accesso a milioni di dati riservati di fornitori, clienti o cittadini.
La truffa del finto Captcha
Nella mail, il supporto tecnico per la sicurezza informatica del Comune di Milano avverte i dipendenti: “Se visitando un sito web ricevete la richiesta: ‘Per confermare che non sei un robot, premi win+r, ctrl+v e premi enter‘, non fatelo! Si tratta di un sito infetto. Questa sequenza di tasti apre la finestra ‘esegui’ e incolla un codice malevolo che verrà eseguito”.
La sequenza di tasti comincia con la combinazione Windows+R. Nei computer che operano attraverso il sistema operativo di Microsoft, questa scorciatoia da tastiera apre la finestra di dialogo Esegui. Attraverso questa funzione, gli utenti possono lanciare programmi direttamente attraverso l’esecuzione di un codice di programmazione.
A questo punto, l’utente viene spinto a inserire la combinazione ctrl+v, la comune scorciatoia per il comando incolla. Così facendo, nella finestra Esegui viene inserito un codice, copiato negli appunti nel momento in cui si accede al sito. L’ultimo passo, premere enter, il tasto di invio, porta all’esecuzione del codice. Questa truffa assomiglia a un Captcha, il sistema di protezione contro i bot automatici usato da moltissimi siti.
Cosa succede se il proprio computer viene infettato
Una volta premuto enter, il proprio computer è da considerarsi infetto. Il problema di questo metodo è che può essere utilizzato con qualsiasi virus. Non è quindi possibile sapere quale sarà la problematica che il dispositivo presenterà. Diversi utenti su internet, truffati con il finto Captcha, segnalano un’impossibilità di connettersi a internet, altri un improvviso riavvio del computer.
Purtroppo il codice inserito può essere di qualsiasi natura. Anche per questa ragione il Comune di Milano ha chiesto ai propri dipendenti che dovessero imbattersi in siti di questo tipo di segnalarli immediatamente. Non è escluso, infatti, che uno di questi virus sia in grado di rubare credenziali e informazioni, dando quindi potenzialmente accesso ai sistemi di Palazzo Marino agli hacker.
Cos’è un Captcha
Come detto, questa truffa finge di essere un Captcha. L’acronimo in inglese significa “Test di Turing pubblico e completamente automatico per distinguere gli umani dai robot (completely automated public turing-test-to-tell computers and humans apart). Navigando su internet è molto facile incontrare questi test, che chiedono di solito all’utente di scrivere un codice alfanumerico che appare distorto in un’immagine o, semplicemente, di cliccare su una casella vuota.
I Captcha sono molto utili per impedire ai bot automatici l’accesso a un sito internet. Questo impedisce, potenzialmente, che sul sito si verifichino casi di spam, o anche tentativi di accesso ad account privati tramite brute force, la tecnica di hacking in cui vengono inserite moltissime credenziali casuali per entrare in un profilo utente.
