Uno scareware è un tipo di truffa di ingegneria sociale che sfrutta la paura per spingere le persone a scaricare malware, perdendo denaro o condividendo informazioni sensibili. Nell'esempio classico, lo scareware avvisa la vittima che sul suo dispositivo è stato identificato un virus, dopodiché prova a vendergli un finto software antivirus che non fa nulla o che si rivela un malware.
La maggior parte degli utenti, se non addirittura tutti, si sono trovati davanti a un tentativo di scareware durante la navigazione del web, spesso sotto forma di un avviso a comparsa che li avvisa che una "scansione antivirus" ha identificato un malware. I primi attacchi scareware causavano pochi danni, truffando le vittime per pochi dollari in cambio di qualche bloatware inutile. Oggi, invece, lo scareware è diventato un vettore di minacce informatiche molto peggiori, come i ransomware.
Le truffe scareware cominciano sempre con un messaggio: un messaggio di spoofing, un'e-mail di phishing o, più spesso, una finestra del browser a comparsa. Il segno distintivo di un messaggio di scareware è l'utilizzo di tattiche intimidatorie, come la minaccia di un virus o di azioni legali, che spingono la vittima ad agire immediatamente.
I pop-up di scareware possono utilizzare i loghi di aziende reali, come Google, per sembrare autentici. I truffatori potrebbero utilizzare anche URL e nomi di prodotto che sembrano autentici, come "Mac Virus Defense" o "Windows Fixer." Alcuni truffatori camuffano i propri avvisi a comparsa da notifiche provenienti dal sistema operativo del dispositivo, che mostrano messaggi come "Android ha rilevato un problema!" Altri invece li fanno sembrare report di un di un programma antivirus reale, come "Una scansione recente ha individuato cinque virus sul tuo dispositivo."
Dopo aver spaventato le vittime, i messaggi scareware offrono una "soluzione" al loro "problema". Di solito, i truffatori chiedono alle vittime di scaricare software di sicurezza falsi o di pagare una commissione. Se gli utenti lo fanno, possono accadere alcune cose:
L'utente segue il messaggio e arriva a un sito web truffa, dove inserisce i dati della propria carta di credito per acquistare il software, ma non c'è nessun software e i truffatori rubano i dati per commettere un furto di identità.
Invece di rubare i dati, alcuni truffatori addebitano agli utenti il costo di software che non fanno nulla (tranne forse rallentare il dispositivo).
Nel peggiore dei casi, i programmi scareware sono Trojan horse che trasportano software dannosi, come gli spyware che raccolgono segretamente i dati personali.
Anche se una vittima non segue le istruzioni dei truffatori, lo scareware può comunque entrare nel suo dispositivo. Alcuni hacker progettano le finestre pop-up in modo che, facendo clic sul pulsante "chiudi", venga avviato un download drive-by nascosto.
Gli hacker possono utilizzare tattiche di scareware per diffondere i ransomware, un tipo di malware che tiene in ostaggio dispositivi o file e chiede un riscatto. Convincere le vittime a scaricare software antivirus falsi può essere più semplice che introdursi nella rete.
Alcuni scareware fingono di essere ransomware per estorcere denaro. Uno scareware, chiamato "ALC Ransomware" (link indirizza al di fuori di ibm.com), comunica alle vittime che i loro file sono stati crittografati e richiede il pagamento del riscatto. In realtà, non è stato crittografato niente. Gli hacker contano sul fatto che gli utenti siano così spaventati da inviare comunque denaro.
Altri programmi scareware potrebbero essere una forma di ransomware a sé stante, perché possono rendere inutilizzabili i dispositivi finché non vengono soddisfatte le loro richieste. Un falso programma antivirus potrebbe inondare il dispositivo con infiniti "avvisi" pop-up che non spariranno finché l'utente non pagherà per "aggiornare" il software.
Le truffe scareware si presentano sotto molte forme. Alcune delle tattiche più comuni includono:
Truffe di virus falsi: il classico pretesto di scareware utilizza messaggi a comparsa per avvertire gli utenti che i loro dispositivi sono stati infettati da un malware. Questi pop-up possono sembrare report di scansione reale da un software antivirus. I truffatori indicano poi agli utenti di scaricare un software di sicurezza falso che ruba il loro denaro o installa un malware. I truffatori dietro al programma antivirus falso SpySheriff, ad esempio, obbligavano gli utenti a pagare per rimuovere un malware inesistente.
Assistenza tecnica falsa: I truffatori fingono di essere personale di supporto di aziende reali, come Apple o Microsoft. Solitamente, queste truffe iniziano con un pop-up che chiede alla vittima di chiamare un numero di telefono di assistenza, ma alcuni truffatori chiamano le vittime per primi. Una volta stabilita la comunicazione, convincono gli utenti a disinstallare software di sicurezza autentici, dando loro l'accesso remoto al dispositivo e permettendo al truffatore di rubare i dati della vittima o di installare malware.
In alcune truffe di assistenza tecnica, le vittime pagano per servizi fraudolenti, come nel caso dello scandalo Office Depot del 2019. I dipendenti di Office Depot eseguivano scansioni false sui computer dei clienti e utilizzavano i risultati per vendere servizi di riparazione di cui questi non avevano bisogno. Quando lo scandalo venne alla luce, la FTC ordinò a Office Depot e al suo partner Support.com di pagare 35 milioni di dollari a titolo di risarcimento.
Malvertising: il malvertising è un attacco informatico in cui gli hacker sabotano degli annunci autentici (o spazi per annunci, ad esempio su Facebook o sui risultati di ricerca di Google) in modo che diffondano dei virus. Nel caso degli scareware, un utente potrebbe visualizzare su una pagina web un annuncio che offre un software antivirus gratuito. Poiché si tratta di un annuncio anziché di un popup sospetto, è più probabile che gli utenti vi clicchino sopra.
Truffe di simulazione delle forze dell'ordine: gli aggressori informatici fingono di essere la polizia o l'FBI. Un messaggio a comparsa avvisa la vittima che è stato reperito "materiale illegale" sul suo dispositivo. Se la vittima paga una multa, il "problema" scomparirà. Per aumentare la pressione, i pop-up potrebbero bloccare lo schermo fino a quando la vittima non paga.
Una volta che uno scareware infetta un dispositivo, rimuoverlo può essere difficile. I programmi scareware possono disabilitare altri software di sicurezza e nascondere i file dei programmi, il che li rende più difficili da rilevare. È noto che alcuni software antivirus falsi si reinstallano da soli dopo la rimozione.
Per impedire che lo scareware si radichi, le organizzazioni e gli utenti possono prendere in considerazione i seguenti strumenti e pratiche:
Formazione sulla consapevolezza della sicurezza informatica: come altre tattiche di ingegneria sociale, lo scareware è meno efficace contro gli utenti che sanno riconoscere i segnali rivelatori di un attacco, ad esempio la differenza fra le notifiche reali e i pop-up pubblicitari di scam.
Strumenti anti-malware: gli anti-malware e i software antivirus autentici possono impedire agli utenti di installare programmi di scareware. Aiutano inoltre a rimuovere gli scareware che riescono ad entrare nel dispositivo. Poiché alcune truffe convincono gli utenti a disabilitare i software antivirus, i team di sicurezza possono limitare le autorizzazioni degli utenti per questi strumenti.
Strumenti di sicurezza di rete: i firewall possono impedire che il traffico dannoso raggiunga i browser web degli utenti, e i filtri URL evitano che gli utenti visitino siti web fraudolenti. Gli ad blocker, i pop-up blocker e i filtri antispam possono anche impedire la visualizzazione di messaggi scareware.
Aggiornamenti software e patch: come per la maggior parte delle minacce informatiche, i programmi di scareware sfruttano le vulnerabilità del sistema per infettare i dispositivi. Mantenere aggiornati gli strumenti di sicurezza, i browser web e altre applicazioni può aiutare a contrastare tattiche come il malvertising e i download drive-by.
Individua le minacce avanzate che altri semplicemente non vedono. QRadar SIEM sfrutta gli analytics e l'AI per monitorare le informazioni sulle minacce, le anomalie della rete e del comportamento degli utenti e per stabilire le priorità in cui è necessario porre attenzione immediata e correggere.
Senza un'intelligence forte e affidabile, non è possibile raccogliere le informazioni necessarie per agire rapidamente contro le minacce. Affidati agli esperti globali di intelligence di sicurezza di IBM e alle analisi leader del settore per semplificare e automatizzare la tua piattaforma di cyber threat.
Rileva i dispositivi infetti da malware, determina la natura e il potenziale rischio della minaccia, ricevi avvisi quando i dispositivi infetti accedono ai tuoi siti web e agisci per prevenire potenziali frodi.
L'ingegneria sociale si basa sulla natura umana, piuttosto che sull'hacking tecnico, per manipolare le persone al fine di compromettere la sicurezza personale o aziendale.
Giunto alla sua 17a edizione, questo report condivide le ultime informazioni sul dilagante panorama delle minacce e offre consigli per risparmiare tempo e limitare le perdite.
Il ransomware è un tipo di malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'aggressore.