Il reCAPTCHA, ovvero la tecnologia di Google che richiede di confermare la propria identità “umana” durante alcuni procedimenti online, come un acquisto o una registrazione, è sicuramente un alleato della sicurezza. Aiuta, infatti, ad arginare i tentativi di attacco e di truffa eseguiti attraverso software, smascherando le azioni automatiche e lasciando passare soltanto quelle fatte da un utente in carne e ossa. Ma forse non sapevamo che il reCAPTCHA può anche essere sfruttato per realizzare attacchi di phishing, e più precisamente per “proteggere”, in un certo senso, i siti malevoli confezionati allo scopo di sottrarre dati.
La società di sicurezza italiana Libraesva ha scoperto e segnalato l’esistenza di due campagne di email phishing, che agganciano l’utente all’amo con messaggi di posta elettronica e lo portano su siti Web malevoli “protetti” da reCAPTCHA. “Abbiamo identificato due campagne di questo tipo, entrambe rivolte agli utenti di Office 365 e finalizzate ad appropriarsi delle loro credenziali”, spiega Rodolfo Saccani, security R&D manager di Libraesva. “I dettagli dell'implementazione suggeriscono che le due campagne non provengono dai medesimi artefici”.
In entrambe la campagne vengono inviati messaggi di posta contenenti un link che punta verso una pagina Web. Non appena l'utente vi clicca sopra, il browser atterra sulla pagina vuota che contiene solamente un reCAPTCHA di Google, elemento che in qualche modo rassicura il visitatore. In realtà, in questo caso il reCAPTCHA viene usato per proteggere il sito malevolo dai sistemi automatici di sicurezza, che altrimenti lo identificherebbero e lo bloccherebbero.
Non appena il reCAPTCHA ha confermato con successo che la visita alla pagina web proviene da un essere umano, il browser visualizza la pagina di atterraggio finale, in cui avviene il furto delle credenziali dell’utente. Se ne occupa un’applicazione di Web phishing creata utilizzando React, un framework Javascript ampiamente diffuso. Libraesva sottolinea come si tratti di un’opera abbastanza sofisticata, ben più della media delle campagne di phishing.
“Le campagne di phishing continuano a migliorare”, commenta Paolo Frizzi, Ceo di Libraesva. “Gli attaccanti si stanno dimostrando sempre più esperti e con competenze sofisticate. Eludendo l'ispezione da parte dei bot, puntano ad aumentare la longevità del sito di phishing ritardando il momento in cui il sito Web viene inserito in blacklist e in cui i browser iniziano ad allertare gli utenti che lo visitano”. Per la difesa da questo genere di minacce Libraesva propone la URLSand, una soluzione che, nel momento stesso in cui l’utente clicca su un link ricevuto via email, esegue controlli approfonditi sui contenuti di un sito Web e sul suo comportamento. “La possibilità di disporre di un sistema di Sandboxing su server di posta resta la migliore protezione possibile per intercettare e bloccare gli attacchi di phishing” conclude Saccani.