Una pagina che si blocca, un allarme continuo, messaggi rossi che fanno pensare a un’emergenza e un numero da chiamare subito: CypherLoc punta sulla pressione psicologica per convincere le vittime a reagire in fretta.
Secondo le analisi di Barracuda, questa campagna scareware ha già colpito milioni di utenti, sfruttando tecniche moderne per sembrare credibile e aumentare le probabilità di successo. Il risultato è una truffa che non cerca solo di spaventare, ma di portare l’utente a contattare operatori reali pronti a raccogliere dati sensibili o ad assumere il controllo del dispositivo.
CypherLoc e la truffa scareware nel browser
Il meccanismo di CypherLoc parte quasi sempre da un link ricevuto via email, social o SMS. Una volta aperta la pagina, uno script nascosto trasforma il browser in una finta schermata di emergenza: viene forzata la modalità a schermo intero, si attivano suoni d’allarme a ogni interazione e compaiono popup costruiti per imitare finestre di sistema o avvisi del browser.
La parte più insidiosa è l’uso dell’indirizzo IP pubblico della vittima, mostrato a schermo per simulare un accesso sospetto in corso. Dal punto di vista tecnico si tratta di un’informazione semplice da recuperare, ma l’effetto psicologico è forte perché spinge l’utente a credere che il proprio computer sia davvero compromesso.
Se la vittima chiama il numero indicato, entra in contatto con persone reali che cercano di proseguire la truffa. In questa fase vengono spesso richieste password, dati bancari o persino l’installazione di strumenti di accesso remoto, con il rischio di perdere il controllo del dispositivo o di subire frodi economiche.
Le tecniche usate per evitare i controlli
CypherLoc non si limita a spaventare: include anche meccanismi pensati per eludere l’analisi dei ricercatori e dei sistemi di sicurezza. Il codice verifica se il browser è in esecuzione in ambienti virtualizzati o sandbox, controlla la presenza di debugger e osserva il comportamento del mouse per distinguere un utente reale da un’analisi automatizzata.
Inoltre, il contenuto malevolo viene spesso distribuito in piccoli frammenti JavaScript scaricati solo dopo specifiche interazioni. Questo approccio rende più difficile l’identificazione da parte dei filtri tradizionali e consente alla pagina fraudolenta di restare attiva abbastanza a lungo da aumentare la pressione sulla vittima.
Come proteggersi da CypherLoc
La difesa migliore è mantenere un atteggiamento prudente. Non bisogna aprire link provenienti da mittenti sconosciuti né fidarsi di messaggi che impongono azioni immediate. Aggiornare regolarmente browser e sistema operativo aiuta a ridurre l’esposizione, perché le versioni più recenti includono protezioni migliori contro popup abusivi e pagine fullscreen fraudolente.
Se il browser sembra bloccato, conviene chiuderne il processo senza interagire con i messaggi a schermo: su Windows si può usare il Gestore attività, mentre su macOS è utile l’Uscita forzata. Alla riapertura è meglio evitare il ripristino automatico delle schede precedenti. Va ricordato, infine, che nessuna azienda affidabile inserisce numeri telefonici in avvisi browser che chiedono di chiamare con urgenza: quel tipo di messaggio è da considerare fraudolento.
