Alcune recenti analisi condotte da TrendLabs, la rete globale dei centri di ricerca, servizi e supporto antimalware di Trend Micro, hanno portato alla scoperta di un gruppo di criminali informatici che ha concepito un nuovo ed esclusivo metodo per aggirare i controlli di sicurezza noti come CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart ).I siti Web, di solito, utilizzano i test CAPTCHA per determinare se gli utenti che stanno compilando un modulo di registrazione sono esseri umani oppure reti di computer (botnet) programmati generalmente per inviare grandi quantità di spam. I controlli CAPTCHA si sono sempre dimostrati un valido strumento per bloccare questo genere di attacchi, ma ora Trend Micro ha scoperto che in India sono stati predisposti dei centri dedicati in cui persone bisognose di lavoro vengono sfruttate, per pochi euro al giorno, proprio per violare questi sistemi di sicurezza.
Mentre i metodi tradizionali che utilizzano le botnet per violare i controlli erano in genere in grado di ottenere l’accesso agli account nel 30-35% dei casi, questo nuovo sistema che sfrutta individui in carne e ossa raggiunge quasi il 100%. Il risultato è che i criminali informatici possono disporre di un numero crescente di account per condurre le proprie attività dannose.
Trend Micro ha già rilevato che uno dei maggiori provider di indirizzi e-mail gratuiti è stato preso di mira e un numero consistente di account è stato violato grazie all’aiuto di questi lavoratori impegnati esclusivamente a violare la protezione CAPTCHA.
Ecco come funziona il processo:
1.Un bot automatico visita una pagina di accesso di un determinato sito web e compila il modulo di registrazione con dati casuali.
2.Quando compare la verifica CAPTCHA, il bot invia il messaggio a un terminale in India.
3.L’addetto, dopo aver risolto il codice CAPTCHA, inserisce la corretta combinazione di lettere e numeri e la inoltra al bot.
4.Il bot inserisce la risposta e completa il processo di registrazione.
5.A questo punto gli spammer hanno libero accesso agli account degli utenti così creati.
6.L’account e-mail comincia quindi a distribuire spam a migliaia di account e-mail legittimi.
“L’industria della criminalità informatica non è più il regno di singoli individui, ma di gruppi organizzati con grandi disponibilità di denaro. Utilizzando esseri umani per risolvere il problema dei test CAPTCHA, e pagandoli anche solo 3 o 4 euro al giorno, i criminali informatici possono accedere a milioni di account registrati”, ha dichiarato Rik Ferguson di Trend Micro. “Questi account possono quindi essere utilizzati per inviare milioni di messaggi spam allo scopo di infettare gli utenti con una vasta gamma di minacce informatiche, tra cui programmi keylogger destinati a impadronirsi di informazioni personali come i dati bancari o le password.”
Già in precedenza erano stati inventati altri sistemi per aggirare i codici di sicurezza CAPTCHA, come la creazione di un programma di spogliarello virtuale, un gioco in cui una donna semivestita premia gli utenti togliendosi un indumento se questi digitano il testo visualizzato nell’immagine che appare nel gioco.
Le immagini provenivano da siti Web che normalmente bloccano le registrazioni automatiche effettuate da computer “bot”. Grazie a questo sotterfugio, gli spammer entravano in possesso degli account così registrati per poi utilizzarli per scopi illegali come inviare mail-spazzatura.