Una pagina che si blocca, un allarme sonoro continuo, messaggi rossi che simulano una compromissione del sistema e un numero da chiamare “urgentemente”: la campagna scareware CypherLoc punta tutto sulla pressione psicologica.
Secondo le analisi di Barracuda, nel 2026 ha già raggiunto circa 2,8 milioni di utenti. Non si tratta di un fenomeno nuovo: le prime forme moderne di scareware circolavano già a metà anni 2000 con falsi antivirus che mostravano infezioni inesistenti. Oggi però gli attacchi sfruttano browser moderni, JavaScript offuscato e tecniche anti-analisi costruite per imitare incidenti reali.
Come funziona l’attacco di CypherLoc?
L’infezione parte quasi sempre da un link phishing ricevuto via email, social o SMS. Una volta aperta la pagina, uno script nascosto trasforma il browser in una falsa schermata di emergenza: fullscreen forzato tramite API HTML5, suoni di allarme a ogni interazione, popup che imitano finestre Microsoft e richieste di autenticazione.
La componente più aggressiva è l’uso dell’indirizzo IP pubblico della vittima, mostrato a schermo per simulare un accesso illegittimo in corso. Tecnicamente si tratta di un’operazione banale, ma l’effetto psicologico è forte. Quando l’utente chiama il numero indicato, entra in contatto con operatori reali che cercano password, dati bancari o accessi remoti al dispositivo.
