Il cosiddetto “Technical support scam” (Tts) è una vecchia tecnica utilizzata dai criminali informatici e recentemente tornata di moda con una versione evoluta. La vittima riceve un messaggio che recita, in diverse varianti, un contenuto di questo genere: “Il tuo computer è stato bloccato. Chiama per supporto”: un genere di alert che avvisa l’utente di problemi tecnici inesistenti con l’obiettivo di estorcere denaro alle vittime facendo in modo che contattino call center fraudolenti. A evidenziare la nuova ondata di attacchi che utilizzano questa tecnica è Sophos, società specializzata in cybersecurity, che ha accertato, partendo da siti che sfruttano un bug trovato nei browser Firefox, “una serie di pagine fake per il supporto tecnico che eseguono attacchi simili su altri browser e che si diffondono attraverso annunci pop-under”. Uno dei cambiamenti fondamentali in questo genere di truffe, secondo i tecnici di Sophos, è che se prima si concentravano soprattutto su siti in inglese, ultimamente ne esistono versioni per diverse lingue, fino al giapponese. “Una volta colpiti – evidenzia Sophos – risulta molto difficile liberarsi dall’attacco a causa di due principali espedienti usati: “evil cursor”, in cui il cursore compare in una posizione diversa da quella in cui realmente si trova o scompare del tutto, e il “infinite download”, che sovraccarica il browser.
Questo genere di attacchi, detti anche “browser lock”, comportano spesso anche un gran numero di fake alert contro dispositivi mobili. Queste truffe, che utilizzano pagine web create per assomigliare agli alert dei sistemi operativi dei dispositivi mobile – sottolinea Sophos – seguono lo stesso schema delle truffe su desktop, in quanto sono collegate ad attacchi basati su falsi alert di supporto tecnico o al download di Pua (Potentially Unwanted Applications), comprese le applicazioni “fleeceware” negli app store di Google e Apple.
Questo tipo di pagine truffa esistono da diversi anni, e vanno considerate tuttora una grave minaccia, soprattutto in considerazione dei punti deboli nelle difese dei pop-up nei browser su mobile: poiché non contengono alcun codice che possa essere immediatamente riconosciuto come dannoso, la maggior parte di essi non innesca alcun tipo di rilevamento anti-malware. Questi attacchi sono una sorta di versione “scareware” di pubblicità dannosa, che prende il nome di “scarevertising”.
“La stragrande maggioranza dei fake alert che abbiamo trovato nelle malvertising networks ha preso di mira i browser mobili – afferma Sean Gallagher, senior Threat researcher at Sophos – Android e iOS sono diventati il bersaglio preferito per le pubblicità dannose, in quanto offrono il maggior traffico online e dunque un maggior numero di modi per portare gli attacchi a buon fine. Ad esempio, alcune funzioni dei browser su device mobile, come ad esempio iOS Safari, possono far comparire pop-up che consentono di fare telefonate, risparmiando ai truffatori la necessità di dover chiamare dal nulla le vittime o di adottare strategie di phishing vocali. Nonostante siano presenti messaggi efficaci, come ad esempio l’avviso di un sito non sicuro, alcuni utenti possono venire ingannati dall’apparente messaggio di sistema che appare in questa pagina. L’intenzione dei truffatori è sicuramente quella di distribuire il messaggio dannoso alle vittime”.
Per bloccare i fake alert – spiega Sophos – i sistemi di blocco dei pop-up del browser offrono una certa protezione, ma non completa, contro le pubblicità pop-under. I blocchi dei tracker, come il Privacy Badger dell’EFF, possono eliminare i tracker per le reti di malvertising, impedendo il caricamento dei pop-under. Anche i blocchi basati sulla reputazione e la protezione dai malware possono bloccare molti di questi siti. Quanto al mobile, mentre Apple e Google hanno reso più difficile per i truffatori sfruttare le funzionalità del browser per attaccare la privacy degli utenti e installare applicazioni indesiderate, le difese “pop-up” rimangono deboli – conclude la società – e le truffe nelle app store persistono. “Con l’aumento delle protezioni sui desktop contro il malvertising – concludono i tecnici – un numero sempre maggiore di truffatori si concentrerà sui punti deboli dei dispositivi mobili”.