Milano — Settembre 14, 2020 —

“Il tuo computer è stato bloccato. Chiama per supporto": questo angosciante messaggio è solo un esempio dei cosiddetti “technical support scam” (o TSS), attacchi che attraverso falsi alert relativi a inesistenti problemi tecnici puntano ad estorcere denaro agli utenti. Noti da tempo, i TSS si sono evoluti: ciò che era iniziato come uno scam telefonico negli ultimi anni si è trasformato in un modello pull che utilizza contenuti web per indurre le vittime a contattare call center fraudolenti.

Funzionamento e conseguenze dei TSS

La recrudescenza di questo fenomeno viene evidenziata dagli esperti di Sophos che, partendo da siti che sfruttano un bug trovato nei browser Firefox, hanno scoperto una serie di pagine fake per il supporto tecnico che eseguono attacchi simili su altri browser e che si diffondono attraverso annunci pop-under.
Mentre in passato queste truffe si sono in gran parte concentrate su obiettivi di lingua inglese, recentemente sono state trovate versioni di questi attacchi “browser lock" anche per utenti di altre lingue, tra cui giapponese, tedesco e francese. Una volta colpiti, risulta molto difficile liberarsi dall’attacco a causa di due principali espedienti usati: “evil cursor”, in cui il cursore compare in una posizione diversa da quella in cui realmente si trova o scompare del tutto, e il “infinite download”, che sovraccarica il browser.

L’analisi degli esperti di Sophos

Nel corso della ricerca sui "browser lock", Sophos ha anche riscontrato un gran numero di fake alerts che hanno come obiettivo quello di attaccare i dispositivi mobili. Queste truffe, che utilizzano pagine web create per assomigliare agli alert dei sistemi operativi dei dispositivi mobile, seguono lo stesso schema delle truffe su desktop, in quanto sono collegate ad attacchi basati su falsi alert di supporto tecnico o al download di PUA (Potentially Unwanted Applications), comprese le applicazioni "fleeceware" negli app store di Google e Apple.

Questo tipo di pagine truffa esistono da diversi anni, e vanno considerate tuttora una grave minaccia, soprattutto in considerazione dei punti deboli nelle difese dei pop-up nei browser su mobile: poiché non contengono alcun codice che possa essere immediatamente riconosciuto come dannoso, la maggior parte di essi non innesca alcun tipo di rilevamento anti-malware. Questi attacchi sono una sorta di versione "scareware" di pubblicità dannosa, che prende il nome di “scarevertising”.
Nel corso della ricerca, Sophos ha rilevato diversi casi in cui la stessa rete pubblicitaria URI avrebbe prodotto sia pop-up falsi su cellulari che su desktop, oltre a pubblicità legittime e altre pagine pop-up/pop-under potenzialmente indesiderate. Bisogna però ricordare che le reti pubblicitarie specializzate in pop-under, tra cui PopCash.net e PopAds.net (che afferma di avere "il più avanzato sistema anti-frode di sempre"), hanno meccanismi di segnalazione di annunci malevoli. Ma poiché questi falsi avvisi vengono inoltrati attraverso gli inserzionisti da una serie di fonti di acquisto di traffico che suddividono il traffico tra più acquirenti, bloccarli significherebbe danneggiare in modo sostanziale anche i modelli di business delle reti pubblicitarie.

Sean Gallagher, Senior Threat Researcher at Sophos ha dichiarato: “La stragrande maggioranza dei fake alert che abbiamo trovato nelle malvertising networks ha preso di mira i browser mobili. Android e iOS sono diventati il bersaglio preferito per le pubblicità dannose, in quanto offrono il maggior traffico online e dunque un maggior numero di modi per portare gli attacchi a buon fine.
Ad esempio, alcune funzioni dei browser su device mobile, come ad esempio iOS Safari, possono far comparire pop-up che consentono di fare telefonate, risparmiando ai truffatori la necessità di dover chiamare dal nulla le vittime o di adottare strategie di phishing vocali.
Nonostante siano presenti messaggi efficaci, come ad esempio l'avviso di un sito non sicuro, alcuni utenti possono venire ingannati dall'apparente messaggio di sistema che appare in questa pagina. L’intenzione dei truffatori è sicuramente quella di distribuire il messaggio dannoso alle vittime.”

Come proteggersi?

Sui computer ci sono diversi modi per evitare di incorrere in un fake alert. I sistemi di blocco dei pop-up del browser offrono una certa protezione, ma non completa, contro le pubblicità pop-under. I blocchi dei tracker, come il Privacy Badger dell'EFF, possono eliminare i tracker per le reti di malvertising, impedendo il caricamento dei pop-under. Anche i blocchi basati sulla reputazione e la protezione dai malware possono bloccare molti di questi siti (Sophos blocca tutti i siti browser-locker, identificati come "FakeAlert-B" e ne impedisce l'apertura).

Per quanto riguarda il mondo mobile, tuttavia, rimane in gran parte un problema di educazione degli utenti. Mentre Apple e Google hanno reso più difficile per i truffatori sfruttare le funzionalità del browser per attaccare la privacy degli utenti e installare applicazioni indesiderate, le difese "pop-up" rimangono deboli e le truffe nelle app store persistono. Con l'aumento delle protezioni sui desktop contro il malvertising, un numero sempre maggiore di truffatori si concentrerà sui punti deboli dei dispositivi mobili.

Articolo integrale al seguente link: https://news.sophos.com/en-us/2020/09/09/faking-it-the-thriving-business-of-fake-alert-web-scams/

Informazioni su Sophos

Sophos è un’azienda leader nell’ambito della cybersecurity e protegge 600.000 organizzazioni in tutto il mondo con una piattaforma basata sull’IA e servizi a cura di esperti. Sophos viene incontro alle esigenze delle organizzazioni, adattandosi al loro livello di maturità di sicurezza informatica e crescendo insieme ai clienti per tutelarli dai cyberattacchi. La sua soluzione offre la combinazione ottimale tra machine learning, automazione e dati di intelligence sulle minacce in tempo reale, aggiungendo le competenze umane degli esperti del team Sophos X-Ops, che lavorano in prima linea per garantire monitoraggio, rilevamento e risposta alle minacce 24/7.
Sophos offre un servizio di Managed Detection and Response (MDR) leader di settore, nonché una linea completa di tecnologie di sicurezza, tra cui soluzioni per la protezione di endpoint, rete, e-mail e cloud, nonché Extended Detection and Response (XDR), rilevamento delle minacce all’identità (Identity Threat Detection and Response, ITDR) e SIEM next-gen. Unite a servizi di consulenza a cura di esperti, queste funzionalità aiutano le organizzazioni a ridurre proattivamente il rischio e a rispondere in maniera più tempestiva, ottenendo il giusto livello di visibilità e scalabilità richiesto per tenersi un passo avanti rispetto a minacce in continua evoluzione.
La strategia go-to-market di Sophos si basa su un ecosistema di Partner che include Managed Service Provider (MSP), Managed Security Service Provider (MSSP), Rivenditori e Distributori, integrazioni per il marketplace, e Partner Cyber Risk; questa strategia offre alle organizzazioni la flessibilità di scegliere come stabilire rapporti di fiducia per la protezione della loro attività.  Sophos ha sede a Oxford, nel Regno Unito. Ulteriori informazioni sono disponibili su www.sophos.it.