CypherLoc è una campagna di scareware che ha convinto milioni di utenti a credere di avere una compromissione reale del dispositivo. Secondo le analisi di Barracuda la minaccia ha già raggiunto circa 2,8 milioni di persone nel 2026, un numero che sottolinea la portata dell’attacco. Per scareware si intende un contenuto malevolo che usa paura e allarmi falsi per ottenere dati o contatti diretti con la vittima. Questo articolo spiega con parole semplici come funziona la truffa e cosa fare se capita di incontrarla online.
Indice
Modalità d’infezione e comportamento della pagina
La trappola parte quasi sempre da un link di phishing ricevuto via email, social o SMS che porta a una pagina costruita per sembrare urgente. Appena aperta, la pagina può attivare il fullscreen forzato usando API moderne del browser e riprodurre suoni di allarme a ogni interazione per aumentare la pressione psicologica. Sullo schermo compaiono messaggi rossi che imitano avvisi di sistema e finestre che sembrano prodotte da Microsoft, con richieste di autenticazione o un numero da chiamare. Una variante molto usata è la visualizzazione dell’IP pubblico della vittima per far credere a un accesso non autorizzato.
Meccanismi tecnici che rendono difficile il rilevamento
Il codice di CypherLoc utilizza JavaScript offuscato per nascondere la sua logica e rendere l’analisi automatica più complicata. Sono implementati controlli che verificano se il browser è eseguito in ambienti virtuali o sandbox usati dai ricercatori di sicurezza, oltre a rilevare debugger attivi e pattern di movimento del mouse. Il payload viene spesso suddiviso in frammenti scaricati solo dopo precise azioni dell’utente, così i filtri tradizionali faticano a identificarlo prima che si attivi. Queste tecniche servono a prolungare il tempo di attività del falso allarme e a ridurre la probabilità che i domini vengano bloccati subito.
Perché la truffa funziona
La campagna punta sulla pressione emotiva più che su exploit tecnici sofisticati: l’isolamento visivo in fullscreen, gli allarmi sonori e i messaggi minacciosi spingono a reagire impulsivamente. L’esposizione dell’IP pubblico è spesso sufficiente a convincere persone non esperte che qualcuno stia accedendo al loro dispositivo. Quando la vittima chiama il numero indicato entra in contatto con operatori che possono essere reali e addestrati alla ingegneria sociale, chiedendo password, dati bancari o l’installazione di strumenti per accesso remoto. Questo passaggio è il punto in cui la truffa si trasforma in furto di dati o controllo del dispositivo.
Passaggi immediati se il browser sembra bloccato
La regola fondamentale è non interagire con i popup o chiamare numeri mostrati sullo schermo: qualsiasi avviso browser che richiede una chiamata urgente è fraudolento. La soluzione pratica è chiudere forzatamente il processo del browser senza cliccare sui messaggi di errore: su Windows usare Gestione attività (CTRL + SHIFT + ESC) e su macOS usare Uscita forzata. Alla riapertura, evitare il ripristino automatico delle schede precedenti per non ricaricare la pagina malevola. Ricordare che Microsoft, Google e Apple non inseriscono numeri di telefono negli avvisi del browser che richiedono chiamate immediate.
Misure preventive e protezioni consigliate
Mantenere browser e sistema operativo aggiornati è una difesa concreta perché i principali browser includono sempre più protezioni contro fullscreen abusivi e popup ingannevoli. Un software antivirus con funzioni anti-phishing può bloccare domini sospetti prima che il codice venga eseguito, mentre i filtri antispam riducono la probabilità di ricevere il link iniziale. Evitare di cliccare su link provenienti da mittenti sconosciuti o messaggi che impongono azioni immediate è una pratica semplice ma efficace. Per aziende e utenti avanzati, bloccare liste di domini malevoli a livello di rete aggiunge un ulteriore livello di protezione.
Confronto con le forme storiche di truffa
Le prime versioni moderne di scareware risalgono alla metà degli anni 2000, quando circolavano falsi antivirus che mostravano infezioni inesistenti per vendere software inutili. La differenza principale oggi è l’uso delle capacità dei browser moderni e di API web per imitare incidenti reali con maggiore realismo. Tecniche come offuscamento del codice e controlli anti-analisi non erano così diffuse nelle campagne precedenti, rendendo gli attacchi recenti più difficili da studiare e bloccare. Nonostante l’evoluzione tecnica, il vettore umano rimane centrale: la manipolazione emotiva è il fattore che determina il successo della truffa.
Consigli pratici rapidi
Se si è stati indotti a fornire password o dati bancari, cambiare le credenziali compromesse e contattare immediatamente l’istituto finanziario per segnalare la possibile frode. Abilitare l’autenticazione a due fattori sui servizi principali riduce il rischio di accessi non autorizzati anche se una password è stata svelata. Segnalare il messaggio o il dominio alle piattaforme coinvolte e ai gestori email aiuta a bloccare la diffusione della truffa. Tenere una copia aggiornata dei dati importanti e usare backup esterni protegge da peggiori conseguenze in caso di compromissione.