Una pagina che si blocca all’improvviso, un allarme sonoro che non smette di suonare, messaggi rossi ovunque che simulano una compromissione del sistema e, ciliegina sulla torta, un numero di telefono da chiamare “con urgenza”. Funziona più o meno così la campagna scareware CypherLoc, e il bello (si fa per dire) è che punta tutto sulla pressione psicologica, non su chissà quale sofisticazione tecnica. Stando alle analisi di Barracuda, nel 2026 ha già raggiunto circa 2,8 milioni di utenti. E il numero potrebbe continuare a salire.
Non è certo la prima volta che si parla di scareware. Le prime forme moderne giravano già a metà anni 2000 con quei falsi antivirus che mostravano infezioni completamente inventate. Però quello che rende CypherLoc diverso, e parecchio più insidioso, è il modo in cui sfrutta i browser moderni, il JavaScript offuscato e tecniche anti analisi pensate per imitare incidenti reali in modo credibile.
L’infezione parte quasi sempre da un link phishing ricevuto via email, social o SMS. Niente di sorprendente fin qui. Ma una volta aperta la pagina, uno script nascosto trasforma il browser in una falsa schermata di emergenza: fullscreen forzato tramite API HTML5, suoni di allarme a ogni interazione, popup che imitano finestre Microsoft e richieste di autenticazione che sembrano legittime. La componente più aggressiva è l’uso dell’indirizzo IP pubblico della vittima, mostrato a schermo per simulare un accesso illegittimo in corso. Tecnicamente parliamo di un’operazione banale, ma l’effetto psicologico su chi non è pratico è devastante. Quando l’utente, spaventato, chiama il numero indicato, finisce per parlare con operatori reali che cercano di ottenere password, dati bancari o accessi remoti al dispositivo.
CypherLoc integra anche meccanismi anti rilevamento piuttosto furbi: il codice verifica se il browser gira in ambienti virtualizzati o sandbox usati dai laboratori di sicurezza, controlla la presenza di debugger attivi e analizza persino il comportamento del mouse. Il payload viene distribuito in frammenti JavaScript scaricati solo dopo specifiche interazioni dell’utente, il che rende parecchio più complicata l’identificazione da parte dei sistemi di filtraggio tradizionali.
Come proteggersi dalla campagna scareware CypherLoc
La regola numero uno resta sempre quella: non cliccare su link provenienti da mittenti sconosciuti o messaggi che impongono azioni immediate. Sembra scontato, eppure 2,8 milioni di persone ci sono cascate.
Mantenere browser e sistema operativo aggiornati riduce concretamente l’esposizione. Chrome, Edge, Firefox e Safari includono tutti protezioni migliorate contro popup abusivi e pagine fullscreen fraudolente. Un buon software antivirus con funzioni anti phishing può bloccare i domini coinvolti prima ancora che il codice malevolo venga caricato nel browser.
Se il browser sembra bloccato, la soluzione più semplice è chiudere forzatamente il processo senza interagire con alcun popup: su Windows tramite Gestione attività (CTRL + SHIFT + ESC), su macOS con Uscita forzata. Alla riapertura conviene evitare il ripristino automatico delle schede precedenti, perché il rischio è ritrovarsi punto e a capo con la stessa schermata fasulla davanti.
