Ci sono giunte diverse segnalazioni circa una truffa che ha come obiettivo finale quello di estorcere denaro ai malcapitati.
Visitando alcuni siti web, italiani e stranieri, può capitare di vedere improvvisamente comparire una schermata simile a quella riprodotta in figura recante il messaggio “Il tuo computer è stato bloccato. Errore #0x2328-0x2edf. Questo avviso può indicare una criticità del suo PC. Spegnere il computer potrebbe causare delle anomalie ancora più gravi. Tutte le informazioni salvate sul suo PC potrebbero essere rubate da malintenzionati/hacker. Tutti i dati salvati sul suo PC potrebbero essere a rischio…“.
Anche chi ha un minimo di esperienza in ambito informatico comprenderà immediatamente che trattasi di un falso messaggio (in questo caso viene presentato come di provenienza Microsoft) con cui si invita a chiamare un numero fisso italiano.
Contattati telefonicamente, i truffatori cercheranno di estorcere del denaro (di solito importi intorno ai 100 euro) per “aiutare” l’utente a risolvere il problema.
Nel caso di specie, in questa pagina, su Tellows, le testimonianze di alcuni utenti che sono purtroppo caduti nelle grinfie dei criminali.
Si tratta di una versione ulteriormente migliorata di una tipologia di aggressione in voga ormai da diversi anni (in inglese è chiamata TSS ovvero technical support scam).
La truffa non è in voga soltanto in Italia ma anche in molti altri Paesi e nella versione in circolazione in questi giorni viene utilizzato codice che pone in essere centinaia di tentativi di download bloccando il browser web e rendendolo incapace di rispondere a qualunque manovra da parte dell’utente (i.e. chiusura del browser cliccando sulla “X”, chiusura della singola scheda nella quale è stato caricato il codice truffaldino,…).
Guardate, nella figura che segue, gli innumerevoli tentativi di download posti in essere dalla pagina malevola che hanno portato al blocco, in questo caso, di Chrome.
Già da oltre un anno, gli scammer hanno poi iniziato a utilizzare tecniche basate sulla codifica Base64, routine per offuscare il codice e crittografia AES così da rendere le truffe più difficilmente riconoscibili in modo automatizzato.
Come riprendere il controllo del browser
Gli scammer spesso tentano di installare anche componenti malevoli sui sistemi delle vittime spronandoli ad aprire fine dannosi o sfruttando falle insite nel browser web.
Per evitare problemi e non correre il rischio di vedere automaticamente eseguito, in modalità remota, codice malevolo, è fondamentale mantenere sempre aggiornato il browser web.
Si pensi a questa vulnerabilità recentemente scoperta in Chrome e corretta subito dai tecnici di Google: Chrome da aggiornare subito: vulnerabilità sfruttabili per eseguire codice dannoso.
Installare regolarmente le ultime versioni del browser rappresenta quindi un passaggio essenziale per evitare problemi: Aggiornamento Chrome: perché effettuarlo e cosa significano le icone.
Se il browser non fosse aggiornato o comunque se si autorizzasse l’esecuzione di un componente malevolo sul sistema locale di solito si incorre nella sottrazione di dati personali (le prime informazioni che vengono recuperate e trasmesse su server gestiti dagli aggressori sono le credenziali di accesso ai vari servizi e siti web, ad esempio quelle conservate nel password manager del browser).
Per cavarsi d’impaccio nel caso in cui si fosse bloccati sulla scheda recente il messaggio d’errore fasullo “Il tuo computer è stato bloccato“, suggeriamo di premere la combinazione di tasti CTRL+MAIUSC+ESC
per aprire la finestra del Task Manager (Gestione attività) quindi selezionare i processi usati dal browser in uso e fare clic su Termina attività.
In alternativa, è possibile aprire una finestra del prompt dei comandi (Windows+R
, cmd
) quindi digitare quanto segue a seconda del browser in uso:
taskkill /im chrome.exe /f
taskkill /im firefox.exe /f
taskkill /im opera.exe /f
Se si fosse impostato il browser in maniera tale da riaprire le schede utilizzate durante la precedente sessione di lavoro, il codice truffaldino potrebbe essere automaticamente ricaricato.
In Chrome basterà evitare di fare clic sul pulsante che permette di ripristinare la precedente sessione di lavoro e quindi i siti web aperti in precedenza.
Nel caso di Firefox basterà tenere premuto il tasto MAIUSC
mentre si fa clic sull’icona del browser per riavviarlo.
In primis si potrà provare a fare clic su Avvia in modalità provvisoria: Firefox dovrebbe evitare il caricamento dell’ultima pagina web visualizzata.
Se non si dovesse risolvere, basterà premere la combinazione di tasti Windows+R
quindi digitare %appdata%\Mozilla\Firefox\Profiles
. Portandosi nella cartella del proprio profilo utente Firefox e cancellando (o copiando temporaneamente altrove) la cartella sessionstore-backups
e il file con nome che inizia per sessionstore.json
si dovrebbe risolvere il problema evitando il caricamento di tutte le schede aperte in precedenza.
Come passaggio finale, è consigliabile una scansione dell’intero sistema con un tool come Malwarebytes (il download è disponibile a questo indirizzo). Nel caso in cui si fosse malauguratamente eseguito qualche componente dannoso veicolato dalla pagina truffaldina, bisognerà provvedere a modificare le credenziali di accesso ai vari servizi, previa rimozione del malware.
Maggiori informazioni anche sul sito Microsoft dedicato alle frodi informatiche e, in particolare, al tema technical support scam.