Navigando su siti web che prevedono la compilazione di moduli per richiedere informazioni, registrarsi o acquistare online, ci si imbatte solitamente nei cosiddetti “Captcha“, dei piccoli quiz, a volte anche alquanto bizzarri, che certificano che a trovarsi dall’altra parte del display siano degli umani e non dei bot.
BOT? In che senso?
Ma facciamo un passo indietro.
Ci sono alcune persone, non proprio in buona fede, che cercano di automatizzare la compilazione dei moduli online. Ad esempio per inviare allegati malevoli, tentare di rubare dati personali, vendere o pubblicizzare prodotti, e fingersi qualcun altro.
Queste pratiche vengono definite genericamente spam o phishing, in base all’intento dei malintenzionati e alla tipologia di mail inviata.
Per inviare in maniera massiva il più alto numero di messaggi possibile, vengono creati dei BOT, cioè dei sistemi automatizzati che smistano decine di siti web al minuto in cerca delle pagine dove ci sono dei moduli compilabili. Attraverso delle particolari tecniche di “riconoscimento“ dei moduli, inseriscono automaticamente i dati della richiesta e premono il tasto invio. Tutto questo senza il presidio di un umano.
Cosa fanno i BOT?
Come abbiamo appena visto, questi sistemi automatici cercano in qualche modo di compilare ed inviare il modulo del nostro sito, facendoci pervenire delle mail fastidiose ed inutili, oppure addirittura inviando allegati pericolosi o avvisi fasulli.
Tre esempi molto semplici:
SPAM: Sono quelle mail fastidiose di vendita e promozione di prodotti, che nella maggior parte dei casi contengono link a negozi online di dubbia natura, che sarebbe meglio lasciar perdere.
PHISHING: arriva l’avviso dalla banca che la nostra carta è stata bloccata: panico! Si clicca sul link presente nella mail e ci appare la schermata di accesso al nostro home banking! Un occhio più attento si accorgerà, guardando la barra degli indirizzi del browser, che NON SI TRATTA ASSOLUTAMENTE del sito della banca, ma di un URL talmente lungo da diventare anche difficile da leggere. E’ una tecnica molto usata, in modo da poter usare i primi caratteri (quelli sempre visibili nella barra degli indirizzi) per ingannare la potenziale vittima.
Vi ritroverete qualcosa del tipo “posteitaliane.bancoposta.it.homebanking.nomedelsitotruffa.com”, ma il nostro browser mostrerà soltanto la parte iniziale (per motivi di spazio, ovviamente), quindi bisogna sempre accertarsi che non si tratti di una truffa.
VIRUS / CRYPTOLOCKER: occhio agli allegati! Molte aziende, specie quelle che lavorano molto con le spedizioni, ricevono mail molto simili a quelle dei corrieri, dove si richiama l’attenzione per invitare il malcapitato a scaricare l’allegato (solitamente una fattura o una nota di credito). Peccato che l’allegato sia un bel cryptolocker, cioè un file che una volta aperto bloccherà irrimediabilmente tutti i file del PC. Una volta che questi file vengono codificati servirà una chiave di sblocco, che i truffatori forniranno soltanto dietro riscatto in Bitcoin (per evitare di essere tracciati).
Certo che sono un umano!
Ecco che in questo caso interviene il captcha: un semplice script, spesso neanche tanto invasivo, che ci pone delle domande che i computer non riescono a risolvere: individuare degli oggetti in una serie di foto, riconoscere dei numeri deformati o risolvere piccoli quiz matematici. Tutto questo blocca i BOT, che non sapendo risolvere gli enigmi non avranno modo di inoltrare la loro richiesta.
Le nuove generazioni: ReCaptcha V3
Con l’avanzare delle tecnologie e dei linguaggi lato web, si sono evoluti anche i BOT e di conseguenza anche i sistemi di sicurezza. Il recente sistema di Google, denominato ReCaptcha V3, risolve un grosso problema: toglie in parte l’onere di dover individuare gli scuolabus e le strisce pedonali nelle immagini, analizzando i comportamenti dell’utente.
Vengono analizzate, tra le tante informazioni: la presenza di esitazioni (i BOT intervengono in tempi ridottissimi, gli umani per fortuna no), il movimento del mouse o i tocchi sullo schermo, la pressione di alcuni tasti, lo scorrimento della pagina, e tanto altro.
Tutti questi elementi, messi insieme, caratterizzano uno “score“ che determina l’attendibilità di un utente.
Se lo score è alto, lo script “lascia passare” l’utente. In caso di punteggio basso, ReCapcha interviene mostrando all’utente un quiz. Se questo quiz non dovesse passare, si procede a bloccare la richiesta.
Un sistema che ci salva da diverse rogne
Non è obbligatorio avere un captcha sul nostro sito, ma può essere utile per tutte le circostanze descritte in questo articolo, per tutelarsi da email di spam inutili e dannose, permettendoci di tenerci alla larga da mail inattese e allegati sospetti. Questo ovviamente vale per tutti i collaboratori, che se non correttamente formati a difendersi da queste minacce, potrebbero mettere in serio pericolo l’infrastruttura digitale dell’azienda. Infatti non è difficile cadere in questi tranelli, a meno di non avere un occhio attento ad alcuni dettagli o conoscendo bene come questi sistemi vengono messi in atto.