Cerca nel blog

2015/05/27

Occhio alla pornotruffa che blocca il computer

Malwarebytes segnala un'evoluzione a luci rosse del ransomware: il malware che infetta i computer, li blocca e chiede un pagamento per sbloccarli. I criminali informatici guadagnano cifre enormi con questo trucco e quindi hanno scatenato la propria creatività.

Da anni girano la finta multa delle autorità locali di polizia e le finte schermate blu di blocco del computer, ma adesso è in circolazione una variante che massimizza lo shock e il panico bloccando il browser della vittima e facendo comparire nel browser stesso immagini pornografiche accompagnate da un avviso in inglese che parla di “attività sospette” e intima di chiamare un numero di “assistenza tecnica” (in realtà gestito dai truffatori).

Purtroppo non si può chiudere la finestra del browser per far sparire il messaggio offensivo (il blocco del browser è realizzato tramite un semplice Javascript che crea un loop molto lungo o addirittura infinito che impedisce di chiudere la pagina), e così le vittime finiscono per essere disposte a tutto pur di far sparire dallo schermo le immagini invereconde e chiamano il numero dell'“assistenza tecnica”, dove trovano dei complici dei criminali che li invitano a scaricare e installare un software che consente ai truffatori di avere accesso al controllo remoto del computer. In alternativa, i truffatori convincono le vittime ad acquistare un abbonamento a servizi di protezione informatica che in realtà non fanno nulla.

La versione pornografica ha il vantaggio (dal punto di vista dei criminali) che la presenza di immagini scioccanti o imbarazzanti nel browser mette a disagio le vittime, che quindi diventano riluttanti a chiedere aiuto ad amici o tecnici.

15 commenti:

Fabio Quell'Altro ha detto...

E' la stessa dinamica "evolutiva" che ha avuto il "virus della guardia di finanza": nelle ultime versioni che mi è capitato di trattare l'utente viene inquadrato da webcam (se presente) e accostato ad accuse di visione e detenzione di immagini pedopornografiche. Ho clienti che ci hanno pensato settimane prima di farsi vivi. Si fa leva su tematiche imbarazzanti e stigmatizzanti per indurre il malcapitato poco esperto a pagare.

andy ha detto...

Piccolo dettaglio: l'esempio è basato su IE.

Un loop infinito con firefox sarebbe un problema ben minore in quanto dopo qualche secondo spunta la famosa finestrella "lo script non risponde, terminarlo?".

andy ha detto...

Piccolo dettaglio: l'esempio è basato su IE.

Un loop infinito con firefox sarebbe un problema ben minore in quanto dopo qualche secondo spunta la famosa finestrella "lo script non risponde, terminarlo?".

Dario ha detto...

Refuso: "il sblocco del browser..." dovrebbe essere "lo sblocco del browser..."

Anonimo ha detto...

Paolo ti segnalo un refuso, 3° paragrafo: "il sblocco".

Scatola Grande ha detto...

Mi ricordo anni fa di uno scherzetto simile dove appariva una finestra o un dialogo inchiudibile. Ma bastò chiudere il processo con task manager.

Jeby ha detto...

ma il browser non blocca automaticamente l'esecuzione di script che vanno in loop? su Chrome e FF ogni tanto mi appare un messaggio del tipo "uno script sta bla bla bla vuoi interromperne l'esecuzione?"

max cady ha detto...

A me e' successo con la schermata della Polizia ( Inglese in quel caso ) ma sono stato veloce con TaskManager a chiudere tutto prima dell irreparabile. Almeno, mi e' successo diversi mesi fa e non ho mai avuto problemi, avro' avuto fortuna

Dumdumderum ha detto...

S'approfittano di IE, giustappunto: Chrome e Firefox dopo un certo numero di cicli ti mandano una segnalazione. E, sì, ucciderlo con la gestione attività (ahò, c'ho Winzozz in italiano, io!) è una soluzione, ma non una soluzione praticabile da parte di un utOnto.

Fx ha detto...

La prima cosa che mi viene in mente è che per chi realizza trappole di questo tipo la pena più efficace sarebbe rendere pubblico il loro nome e indirizzo (fisico). Lo fai per 3 o 4 e vedi che anche gli altri la piantano.

Altra cosa: i browser da questo punto di vista fanno cagare. Paolo, se vuoi un altro argomento da approfondire te ne suggerisco uno molto interessante: i redirect automatici sui browser mobile che ti portano dal sito che stai visitando a pubblicità a tutto schermo per acquisto app / abbonamenti, oppure direttamente sullo store, oppure ancora peggio ti attivano automaticamente servizi in abbonamento dal tuo cellulare. In pratica nei circuiti pubblicitari usati da siti perfettamente legittimi (a me capitava regolarmente su Engadget, il primo che mi ricordo) alcuni inserzionisti inseriscono nei loro banner del codice JS malevolo che effettua il redirect. Per quant'ho letto il motivo per cui la piaga non viene eradicata (lato circuito) è che è estremamente difficile individuare l'inserzione responsabile, però c'è da dire che lato client il browser non fa assolutamente niente per impedire questo comportamento - a differenza di quel che fa ad es. per gli ormai superati popup.

Ad un certo punto, non essendo più sostenibile la cosa, mi sono imposto di trovare una soluzione; ho fatto numerose ricerche per approfondire l'argomento, grazie alle quali si è chiarito nella mia testa il meccanismo che ho appena spiegato (all'inizio non sapevo se si trattasse di altro, come un malware). Le soluzioni tuttavia non erano semplici e quindi ho lasciato perdere la cosa solo per poche ore, quando stavo leggendo proprio Engadget e l'ennesimo redirect mi si è concluso con... l'arrivo di un SMS che mi ringraziava per aver attivato l'abbonamento a roba porno (d'altronde senza pagare in Internet, si sa, di roba porno non ne trovi). Mi è uscito il fumo dalle orecchie, e alla fine ho percorso l'unica soluzione rapida e indolore (le altre prevedevano l'accesso da root) che si prospettava possibile: installare Firefox con il plugin di Adblock. Mi andava benissimo il browser stock di Android, così come Chrome, ma dato che a Google frega un cazzo di risolvere il problema sono passato a Firefox. Da allora mai più avuto un problema, anche se onestamente sono contrario con i plugin che eliminano la pubblicità (in realtà non lo fanno del tutto, segano solo quella più aggressiva).

Lo dico per conoscenza, magari qualcuno ha lo stesso problema, questa soluzione funziona.

Ermanno ha detto...

@ dumdumderum (watzer?)

E un Utonto in preda al panico, per di più'.

Anni fa si sarebbe detto:"calma e gesso".

Ciao,
Ermanno

Replicante Cattivo ha detto...

"Vostro onore, per dimostrare l'innocenza del mio cliente, ho qui una stampa della cronologia internet delle ultime settimane."

"Fermate tutto! Vostro onore, mi dichiaro colpevole!"

(scusate, ma ci stava...)

Stupidocane ha detto...

Domanda: un anti exploit può aiutare? In teoria, chi non è avvezzo al ctrl+alt+canc dovrebbe essere tutelato con un plugin del genere. No?

(Stu in modalità niubbo)

pgc ha detto...

fatemi capire: ma se uno fa semplicemente un hard reboot del computer e non include l'opzione di riaprire tutte le tab già aperte, non risolve il problema?

andy ha detto...

In pratica nei circuiti pubblicitari usati da siti perfettamente legittimi (a me capitava regolarmente su Engadget, il primo che mi ricordo) alcuni inserzionisti inseriscono nei loro banner del codice JS malevolo che effettua il redirect. Per quant'ho letto il motivo per cui la piaga non viene eradicata (lato circuito) è che è estremamente difficile individuare l'inserzione responsabile, però c'è da dire che lato client il browser non fa assolutamente niente per impedire questo comportamento

A me era successo un paio d'anni fa navigando con il (2/3/4)g che mi si fosse attivato un abbonamento del genere grazie ad un servizio che permette di addebitare roba direttamente sulla sim... non mi ricordo il nome, ma indagando avevo proprio trovato il sito ufficiale con tanto di possibilità di registrarsi per creare contenuti a pagamento.

Comunque avevo risolto contattattando il servizio clienti di vodafone per chat e, cosa strana, visto che di solito fanno "pena", mi hanno disattivato il servizio, rimborsato l'addebito e attivato un blocco sulla sim per evitare il ripetersi della cosa.

La cosa strana è che firefox nelle versione per pc/linux ha un opzione per bloccare il redirect e il ricaricamento automatico da sempre... non capisco perché nella versione mobile non l'abbiano inserito.