Attacco con falso blocco del browser fa 2,8 milioni di vittime: come proteggerti?

Una pagina che si blocca, un allarme sonoro continuo, messaggi rossi che simulano una compromissione del sistema e un numero da chiamare “urgentemente”: la campagna scareware CypherLoc punta tutto sulla pressione psicologica.

Secondo le analisi di Barracuda, nel 2026 ha già raggiunto circa 2,8 milioni di utenti. Non si tratta di un fenomeno nuovo: le prime forme moderne di scareware circolavano già a metà anni 2000 con falsi antivirus che mostravano infezioni inesistenti. Oggi però gli attacchi sfruttano browser moderni, JavaScript offuscato e tecniche anti-analisi costruite per imitare incidenti reali.

Come funziona l’attacco di CypherLoc?

L’infezione parte quasi sempre da un link phishing ricevuto via email, social o SMS. Una volta aperta la pagina, uno script nascosto trasforma il browser in una falsa schermata di emergenza: fullscreen forzato tramite API HTML5, suoni di allarme a ogni interazione, popup che imitano finestre Microsoft e richieste di autenticazione.

La componente più aggressiva è l’uso dell’indirizzo IP pubblico della vittima, mostrato a schermo per simulare un accesso illegittimo in corso. Tecnicamente si tratta di un’operazione banale, ma l’effetto psicologico è forte. Quando l’utente chiama il numero indicato, entra in contatto con operatori reali che cercano password, dati bancari o accessi remoti al dispositivo.

CypherLoc include anche meccanismi anti-rilevamento: il codice verifica se il browser gira in ambienti virtualizzati o sandbox usati dai laboratori di sicurezza, controlla la presenza di debugger attivi e analizza il comportamento del mouse. Il payload viene distribuito in frammenti JavaScript scaricati solo dopo specifiche interazioni dell’utente, rendendo più difficile l’identificazione da parte dei sistemi di filtraggio tradizionali.

Come proteggersi

La prima regola è non cliccare su link provenienti da mittenti sconosciuti o messaggi che impongono azioni immediate.

Mantenere browser e sistema operativo aggiornati riduce concretamente l’esposizione: Chrome, Edge, Firefox e Safari includono protezioni migliorate contro popup abusivi e pagine fullscreen fraudolente. Un software antivirus con funzioni anti-phishing può bloccare i domini coinvolti prima ancora che il codice malevolo venga caricato.

Se il browser sembra bloccato, la soluzione più semplice è chiudere forzatamente il processo senza interagire con i popup: su Windows tramite Gestione attività (CTRL + SHIFT + ESC), su macOS con Uscita forzata.

Alla riapertura conviene evitare il ripristino automatico delle schede precedenti. Un dettaglio da ricordare: Microsoft, Google e Apple non mostrano mai numeri telefonici all’interno di avvisi browser che richiedono chiamate immediate. Qualunque messaggio di questo tipo va considerato fraudolento senza eccezioni.