Quei piccoli test dove bisogna selezionare semafori, biciclette o distinguere un chihuahua da un muffin ai mirtilli? Ecco, qualcuno ha trovato il modo di trasformarli in un’arma. Una truffa con falso CAPTCHA sta mettendo in pericolo milioni di persone, e il meccanismo è tanto semplice quanto efficace. Due ricercatori di sicurezza informatica, David Brunsdon e Darby Wise, hanno pubblicato uno studio che smaschera questa campagna fraudolenta legata a una pratica nota come frode internazionale sulla condivisione dei ricavi (IRSF, per gli addetti ai lavori).
Il punto è che i CAPTCHA, quelli veri, servono a dimostrare che chi naviga è un essere umano e non un bot. Quelli falsi, invece, vengono ormai sfruttati per spingere gli utenti a compiere azioni dalle conseguenze del tutto inattese. Non si parla solo dei classici attacchi ClickFix: i CAPTCHA contraffatti sono stati impiegati anche in campagne basate su notifiche push dannose, allargando parecchio il raggio d’azione dei cybercriminali.
La truffa con falso CAPTCHA, nello specifico, si inserisce nelle strutture tariffarie complesse che regolano chiamate e messaggi di testo internazionali. Il meccanismo è pensato per gonfiare il volume degli SMS inviati verso destinazioni con tariffe elevatissime, generando profitti a cascata. Di fatto, il sistema di fatturazione degli operatori telefonici e delle reti di affiliazione viene manipolato per trasformare normalissimo traffico web in guadagni derivanti da SMS a pagamento.
Come funziona nel dettaglio il falso CAPTCHA
Gli esperti di cybersecurity e privacy di Malwarebytes hanno descritto il funzionamento della truffa passo dopo passo. Tutto parte da annunci pubblicitari: la vittima clicca e atterra su una pagina che somiglia in tutto e per tutto a un normale CAPTCHA, con selezione di immagini o quiz. Fin qui nulla di strano, sembra la solita verifica. Per proseguire, però, viene chiesto di toccare un pulsante che, invece di completare il test, apre l’app SMS del dispositivo con un messaggio precompilato e un elenco di destinatari già pronti.
E qui la cosa si fa seria. Non si tratta di un singolo SMS verso un singolo numero. Il falso CAPTCHA è costruito in più fasi e ogni messaggio contiene oltre una dozzina di numeri internazionali distribuiti in 17 paesi noti per le loro tariffe di terminazione altissime, tra cui Azerbaigian, Myanmar ed Egitto. Ogni SMS inviato genera un costo che finisce nelle tasche dei truffatori.
C’è anche un dettaglio particolarmente subdolo. Le pagine utilizzano un sistema di dirottamento del pulsante “indietro” costruito ad hoc: un codice JavaScript riscrive la cronologia del browser, così quando la vittima prova ad abbandonare la pagina viene automaticamente reindirizzata alla truffa, senza via di fuga apparente.
Una rete di affiliazione dietro la campagna
Non si tratta nemmeno di un’operazione isolata. I ricercatori hanno scoperto che l’intera campagna era collegata a una rete di affiliazione in stile Click2SMS, che pubblicizza apertamente “tutti i tipi di traffico consentiti” e la fatturazione tramite operatore telefonico. Di fatto, la frode IRSF viene presentata come un’ulteriore opzione di monetizzazione per editori poco affidabili, quelli disposti a chiudere un occhio sulla provenienza del traffico pur di incassare.
Il falso CAPTCHA, insomma, rappresenta l’evoluzione di un tipo di attacco che sfrutta la familiarità degli utenti con meccanismi apparentemente innocui per trasformare un semplice tocco sullo schermo in una catena di SMS internazionali costosissimi, il cui ricavato alimenta direttamente le reti dei cybercriminali.