I ricercatori Sophos hanno di recente evidenziato un’ondata di attacchi del tipo technical support scam, ovvero una tradizionale tecnica fraudolente tornata in voga in una nuova versione web sfruttata dai criminal hacker per estorcere denaro anche tramite contatti con call center, con il pretesto di un problema tecnico hardware e software inesistente.
Indice degli argomenti
Truffa del technical support scam: lo scenario
Nella fattispecie Sophos, durante la propria ricerca, ha rilevato una serie di false pagine di alert tecnici, apparse su vari siti in lingua inglese, francese, tedesca e giapponese, che eseguono attacchi del genere non solo navigando via Firefox (in virtù di un bug recentemente corretto) ma anche su altri browser noti e in ambiente mobile, attraverso annunci pop-under (molto simili ai classici popup, si presentano come una finestra pubblicitaria che si posiziona sotto alla pagina web durante il suo caricamento, aprendosi automaticamente a tutto schermo quando questa viene chiusa o ridimensionata), pubblicità legittime e download di software PUP (Potentially Unwanted Program) o di app fleeceware (applicazioni mobile dotate di costi di abbonamento nascosti).
Molto spesso sono le reti pubblicitarie stesse, così come accade per il malvertising, a consentire queste tipologie di annunci che riescono a eludere le funzioni di blocco previste dai browser.
Sfruttando le funzionalità di JavaScript e dei CSS (i fogli di stile a cascata) i criminal hacker riescono a ingannare i malcapitati utenti simulando un mal funzionamento utilizzando ad esempio una combinazione di espedienti come il cosiddetto “evil cursor” in cui il puntatore del mouse cambia inspiegabilmente posizione o scompare del tutto, la disabilitazione dei clic e della pressione dei tasti e l’esecuzione di processi di calcolo in background progettati per rallentare la reattività dei browser sovraccaricandoli. Tutte interruzioni sgradevoli che gli utenti colpiti solitamente non riescono a risolvere.
Questi tipi di annunci possono essere propinati anche in modo indiretto dalle reti pubblicitarie, attraverso uno o più reindirizzamenti, oppure tramite intermediari terzi rendendo di fatto difficile il tracciamento.
Sono state scoperte diverse campagne di falsi avvisi, pilotate da server di comando e controllo che eseguono anche dei software tracker per selezionare le potenziali vittime in base alla posizione geografica, al tipo di dispositivo, di browser e di provider ISP.
Secondo Sophos, questi generi di attacchi stanno prendendo sempre più piede anche in ambiente mobile (colpendo i sistemi operativi Android e iOS) sia perché è divenuto oramai una preziosa fonte di traffico Internet, sia perché sarebbero meno stringenti i controlli popup prestati dai relativi browser.
Fake alert: alcuni esempi di technical support scam
Alcune funzioni del browser iOS Safari possono addirittura far comparire popup che consentono di avviare direttamente delle chiamate vocali.
A tal proposito, l’analisi di uno di questi siti trappola ha rilevato, offuscato tra i tag <span> HTML della pagina di supporto tecnico malevolmente allestita, del codice JavaScript addirittura personalizzabile con il numero di telefono e il testo di avviso da utilizzare per la truffa.
Generalmente queste pagine risultano disponibili in semplici kit preconfezionati acquistabili sui forum underground e spesso alla portata anche di truffatori meno esperti.
Script per l’avviso personalizzato in base al tipo di dispositivo.
Lo script, dopo aver rilevato il tipo di dispositivo (iPhone, iPad o iPod) e impostato le variabili in modo adeguato, procede a bloccare la chiusura dell’avviso ricaricandolo ripetutamente.
Funzione per la riproduzione insistente dell’alert.
Con questo stratagemma, un utente poco esperto, anche di fronte ad una segnalazione di sito non sicuro, potrebbe farsi prendere dal panico e consentire la connessione della chiamata, fornendo il proprio ID Apple e altri dati personali.
Notevolmente aumentata nel mese di agosto, la stessa ricerca ha rilevato, inoltre, una diffusione di kit simili anche in ambienti desktop. In questo caso si tratta di file bundle (HTML, JavaScript e PHP) confezionati in archivi ZIP decompressi direttamente sui server web.
Alcuni di questi kit utilizzano JavaScript per rilevare il tipo di browser e quindi reindirizzare a una pagina di blocco ad hoc, altri invece utilizzano delle pagine index in codice PHP.
Codice JavaScript di una pagina HTML per il reindirizzamento multi-target del blocco del browser.
Conclusioni
Sean Gallagher, senior Threat Researcher Sophos, conclude il proprio rapporto rimarcando l’urgente necessità di prestare una maggiore attenzione e cura in ambiente mobile.
Infatti, mentre in ambiente desktop sono diverse le soluzioni contro le fake alert che offrono una certa protezione anche se non completa (si pensi ai vari sistemi di blocco popup dei browser, ai blocchi basati sulla reputazione dei siti e ai controlli antimalware), per quanto riguarda il mondo della telefonia mobile non è purtroppo così.
Nonostante gli sforzi fatti da Apple e Google nel tutelare la privacy degli utenti e nella lotta contro la costante minaccia rappresentata dalle applicazioni PUA (Potentially Unwanted Application), le difese anti popup rimangono ancora deboli e le truffe di questo tipo negli app store continuano inesorabilmente.
Qualora non si dovesse intervenire in tempo per compensare questa marcata ed evidente asimmetria, un numero sempre maggiore di criminal hacker finirà con il focalizzare i propri attacchi sfruttando i punti deboli dei dispositivi mobili.
Tutti gli IoC (indicatori di compromissione) relativi al rapporto SophosLabs sono stati pubblicati sulla piattaforma GitHub.