Che cosa sono gli scareware?

Nell'esempio classico, lo scareware avvisa la vittima che sul suo dispositivo è stato identificato un virus, dopodiché prova a vendergli un finto software antivirus che non fa nulla o che si rivela un malware.

La maggior parte degli utenti, se non addirittura tutti, si sono trovati davanti a un tentativo di scareware durante la navigazione del web, spesso sotto forma di un avviso a comparsa che li avvisa che una "scansione antivirus" ha identificato un malware. I primi attacchi scareware causavano pochi danni, truffando le vittime per pochi dollari in cambio di qualche bloatware inutile. Oggi, invece, lo scareware è diventato un vettore di minacce informatiche molto peggiori, come i ransomware.

Le truffe scareware cominciano sempre con un messaggio: un messaggio di spoofing, un'e-mail di phishing o, più spesso, una finestra del browser a comparsa. Il segno distintivo di un messaggio di scareware è l'utilizzo di tattiche intimidatorie, come la minaccia di un virus o di azioni legali, che spingono la vittima ad agire immediatamente.

I pop-up di scareware possono utilizzare i loghi di aziende reali, come Google, per sembrare autentici. I truffatori potrebbero utilizzare anche URL e nomi di prodotto che sembrano autentici, come "Mac Virus Defense" o "Windows Fixer." Alcuni truffatori camuffano i propri avvisi a comparsa da notifiche provenienti dal sistema operativo del dispositivo, che mostrano messaggi come "Android ha rilevato un problema!" Altri invece li fanno sembrare report di un di un programma antivirus reale, come "Una scansione recente ha individuato cinque virus sul tuo dispositivo."

Dopo aver spaventato le vittime, i messaggi scareware offrono una "soluzione" al loro "problema". Di solito, i truffatori chiedono alle vittime di scaricare software di sicurezza falsi o di pagare una commissione. Se gli utenti lo fanno, possono accadere alcune cose:

• L'utente segue il messaggio e arriva a un sito web truffa, dove inserisce i dati della propria carta di credito per acquistare il software, ma non c'è nessun software e i truffatori rubano i dati per commettere un furto di identità.
   

• Invece di rubare i dati, alcuni truffatori addebitano agli utenti il costo di software che non fanno nulla, tranne forse rallentare il dispositivo.
   

• Nel peggiore dei casi, i programmi scareware sono Trojan horse che trasportano software dannosi, come gli spyware che raccolgono segretamente i dati personali.

Anche se una vittima non segue le istruzioni dei truffatori, lo scareware può comunque entrare nel suo dispositivo. Alcuni hacker progettano le finestre pop-up in modo che, facendo clic sul pulsante "chiudi", venga avviato un download drive-by nascosto.

Gli hacker possono utilizzare tattiche di scareware per diffondere i ransomware, un tipo di malware che tiene in ostaggio dispositivi o file e chiede un riscatto. Convincere le vittime a scaricare software antivirus falsi può essere più semplice che introdursi nella rete.

Alcuni scareware fingono di essere ransomware per estorcere denaro. Uno scareware, chiamato "ALC Ransomware", comunica alle vittime che i loro file sono stati crittografati e richiede il pagamento del riscatto. In realtà, non è stato crittografato niente. Gli hacker contano sul fatto che gli utenti siano così spaventati da inviare comunque denaro.

Altri programmi scareware potrebbero essere una forma di ransomware a sé stante, perché possono rendere inutilizzabili i dispositivi finché non vengono soddisfatte le loro richieste. Un falso programma antivirus potrebbe inondare il dispositivo con infiniti "avvisi" pop-up che non spariranno finché l'utente non pagherà per "aggiornare" il software.

Le truffe scareware si presentano sotto molte forme. Alcune delle tattiche più comuni includono:

Il classico scareware utilizza messaggi a comparsa per avvertire gli utenti che i loro dispositivi sono stati infettati da un malware. Questi pop-up possono sembrare report di scansione reale da un software antivirus. I truffatori indicano poi agli utenti di scaricare un software di sicurezza falso che ruba il loro denaro o installa un malware. I truffatori dietro al programma antivirus falso SpySheriff, ad esempio, obbligavano gli utenti a pagare per rimuovere un malware inesistente.

I truffatori fingono di essere personale di supporto di aziende reali, come Apple o Microsoft. Solitamente, queste truffe iniziano con un pop-up che chiede alla vittima di chiamare un numero di telefono di assistenza, ma alcuni truffatori chiamano le vittime per primi. Una volta stabilita la comunicazione, convincono gli utenti a disinstallare software di sicurezza autentici, dando loro l'accesso remoto al dispositivo e permettendo al truffatore di rubare i dati della vittima o di installare malware.

In alcune truffe di assistenza tecnica, le vittime pagano per servizi fraudolenti, come nel caso dello scandalo Office Depot del 2019. I dipendenti di Office Depot eseguivano scansioni false sui computer dei clienti e utilizzavano i risultati per vendere servizi di riparazione di cui questi non avevano bisogno. Quando lo scandalo venne alla luce, la Federal Trade Commission ordinò a Office Depot e al suo partner Support.com di pagare 35 milioni di dollari a titolo di risarcimento.

Il malvertising è un attacco informatico in cui gli hacker dirottano annunci legittimi o spazi pubblicitari legittimi, come su Facebook o nei risultati di ricerca di Google, per diffondere virus. Nel caso degli scareware, un utente potrebbe visualizzare su una pagina web un annuncio che offre un software antivirus gratuito. Poiché si tratta di un annuncio anziché di un pop-up sospetto, gli utenti potrebbero essere più inclini a cliccarci.

I criminali informatici fingono di essere la polizia o l'FBI. Un messaggio a comparsa avvisa la vittima che è stato reperito "materiale illegale" sul suo dispositivo. Se la vittima paga una multa, il "problema" scomparirà. Per aumentare la pressione, i pop-up potrebbero bloccare lo schermo fino a quando la vittima non paga.

Una volta che uno scareware infetta un dispositivo, rimuoverlo può essere difficile. I programmi scareware possono disabilitare altri software di sicurezza e nascondere i file dei programmi, il che li rende più difficili da rilevare. È noto che alcuni software antivirus falsi si reinstallano da soli dopo la rimozione.

Per impedire che lo scareware si radichi, le organizzazioni e gli utenti possono prendere in considerazione i seguenti strumenti e pratiche:

Come altre tattiche di ingegneria sociale, lo scareware è meno efficace contro gli utenti che sanno riconoscere i segnali rivelatori di un attacco, ad esempio la differenza fra le notifiche reali e i pop-up pubblicitari di scam. 

Gli anti-malware e i software antivirus autentici possono impedire agli utenti di installare programmi di scareware. Aiutano inoltre a rimuovere gli scareware che riescono ad entrare nel dispositivo. Poiché alcune truffe convincono gli utenti a disabilitare i software antivirus, i team di sicurezza possono limitare le autorizzazioni degli utenti per questi strumenti.

I firewall possono impedire che il traffico dannoso raggiunga i browser web degli utenti, e i filtri URL evitano che gli utenti visitino siti web fraudolenti. Altri strumenti per la sicurezza della rete come ad blocker, blocchi anti pop-up e filtri antispam possono anche impedire la comparsa di messaggi di scareware.

Come per la maggior parte delle minacce informatiche, i programmi di scareware sfruttano le vulnerabilità del sistema per infettare i dispositivi.Mantenere aggiornati gli strumenti di sicurezza, i browser web e altre applicazioni può aiutare a contrastare tattiche come il malvertising e i download drive-by.