Browser bloccato dal phishing: la guida anti-scareware 2026

Nei primi cinque mesi del 2026, una campagna scareware battezzata CypherLoc ha preso di mira circa 2,8 milioni di utenti in tutto il mondo, combinando email di phishing con una tecnica di blocco del browser tra le più sofisticate osservate negli ultimi anni. A lanciare l'allarme sono stati i ricercatori di Barracuda Networks, che hanno documentato come il codice malevolo riesca a eludere sandbox e scanner automatici attivandosi solo in presenza di condizioni crittografiche specifiche — per poi paralizzare la sessione di navigazione della vittima e spingerla a chiamare un falso supporto tecnico Microsoft.

La notizia ha un impatto diretto su PMI e utenti privati italiani: lo scareware non richiede competenze tecniche per colpire, non installa file sul disco e lascia tracce minime, rendendosi particolarmente insidioso in contesti dove mancano difese stratificate. Questo articolo spiega come riconoscere un attacco CypherLoc, quali contromisure adottare subito e cosa fare se il browser è già stato bloccato.

Cos'è lo scareware e perché è diverso dal ransomware

Lo scareware è una forma di attacco basata sull'ingegneria sociale che utilizza la paura — da cui il nome, dall'inglese scare, spaventare — per indurre la vittima a compiere azioni dannose: scaricare software inutile o malevolo, pagare per servizi fasulli o, come nel caso di CypherLoc, chiamare un numero telefonico gestito da truffatori. A differenza del ransomware, che cifra i file e li tiene in ostaggio, lo scareware non modifica il contenuto del dispositivo: crea l'illusione di un'infezione o di un problema di sicurezza per spingere la vittima a cercare aiuto nel posto sbagliato.

Secondo la definizione di Fortinet, «lo scareware è una tattica di attacco informatico che spaventa le persone inducendole a visitare siti web falsificati o infetti o a scaricare software malevolo» [fortinet.com]. I ricercatori di Malwarebytes aggiungono che lo scareware «opera tramite l'ingegneria sociale, una tattica che manipola gli utenti affinché compiano azioni affrettate sulla base della paura» [malwarebytes.com].

La differenza cruciale rispetto al ransomware è operativa: mentre un attacco ransomware dichiara apertamente la propria presenza con una richiesta di riscatto, lo scareware vuole che la vittima collabori attivamente, chiamando un numero o installando un programma. È questa componente di interazione umana a renderlo particolarmente pericoloso in ambito aziendale, dove un dipendente in buona fede può diventare il vettore di un attacco ben più grave.

CypherLoc: anatomia di un attacco che si nasconde agli scanner

La campagna CypherLoc, documentata da Barracuda Networks a partire da gennaio 2026, rappresenta un salto di qualità tecnico rispetto allo scareware tradizionale. Il flusso d'attacco si sviluppa in tre fasi, ciascuna progettata per massimizzare l'efficacia e minimizzare il rischio di rilevamento.

Fase 1: l'email di phishing

L'attacco inizia con un'email di phishing che contiene un link diretto verso una pagina web malevola oppure un allegato con il link incorporato. Il messaggio sfrutta le classiche leve dell'ingegneria sociale — urgenza, autorità, curiosità — per spingere il destinatario a cliccare. Una volta avviato il collegamento, la vittima viene condotta su una pagina che, a un primo esame, appare innocua o addirittura vuota.

È qui che entra in gioco la vera innovazione tecnica di CypherLoc.

Fase 2: il codice che si attiva solo «a comando»

Secondo l'analisi di Barracuda, «il codice si decripta solo quando la pagina viene aperta nelle condizioni corrette: quando è presente l'hash del frammento URL richiesto e la pagina supera una serie di controlli di integrità crittografica» [infosecurity-magazine.com]. In termini pratici, il payload malevolo rimane cifrato e inerte fino a quando non viene visitato attraverso un URL specifico che include un fragment hash — la porzione di URL dopo il simbolo #.

Se l'hash non corrisponde, oppure se la pagina viene aperta in un ambiente di test (scanner di sicurezza, sandbox, macchina virtuale), il codice rifiuta di eseguirsi e la pagina reindirizza a una schermata bianca. «Questo nasconde l'attacco agli strumenti di sicurezza», spiegano i ricercatori. È una tecnica di evasione che ricorda quella usata da alcuni malware bancari, ma applicata interamente nel contesto del browser, senza bisogno di installare alcun eseguibile sul sistema operativo.

Il punto chiave è che la vittima reale — cioè l'utente che ha cliccato il link nell'email di phishing — arriva alla pagina con l'hash corretto. Il ricercatore di sicurezza che tenta di analizzare la stessa pagina in un ambiente isolato, invece, vede solo una pagina vuota.

Fase 3: il blocco del browser e il finto supporto tecnico

Quando il payload si attiva, l'esperienza dell'utente degenera rapidamente. CypherLoc esegue una sequenza di azioni progettate per generare panico e senso di impotenza:

• Il browser passa automaticamente a schermo intero, disabilitando i menu contestuali e nascondendo il cursore del mouse
• La schermata viene inondata di overlay — strati grafici sovrapposti che impediscono di interagire con gli elementi della pagina
• Qualsiasi tentativo di riprendere il controllo (clic, tasti ESC, scorciatoie) attiva un «relock» immediato
• Vengono riprodotti suoni di allarme a ogni clic dell'utente
• La pagina recupera e mostra l'indirizzo IP pubblico della vittima, aumentando la credibilità dell'avviso
• Compare un pop-up di login fasullo che, non funzionando, amplifica il senso di urgenza

Al centro della schermata campeggia un numero di telefono di «supporto tecnico Microsoft». Secondo Barracuda, «quando le vittime chiamano il numero, operatori umani che si spacciano per personale di supporto Microsoft prendono il controllo e proseguono la truffa tramite conversazione dal vivo» [infosecurity-magazine.com].

Non è ancora del tutto chiaro quale sia l'obiettivo finale: potrebbe trattarsi di furto di credenziali, vendita di software inutile, addebiti su carta di credito o installazione di malware aggiuntivo tramite accesso remoto. In ogni caso, una volta che la vittima è al telefono con un operatore umano, il rischio di compromissione si estende ben oltre il browser.

Perché CypherLoc è così efficace: i fattori di successo

La combinazione di tecniche adottata da CypherLoc lo rende particolarmente insidioso per tre ragioni principali.

1. Evasione dai sistemi di rilevamento automatico. La doppia protezione crittografica (fragment hash + controllo di integrità) neutralizza scanner, sandbox e honeypot. Come ha spiegato Saravanan Mohankumar, manager del team di analisi delle minacce di Barracuda: «CypherLoc mostra come lo scareware moderno si stia spostando da malware evidente verso truffe basate sul browser, guidate dall'utente, difficili da rilevare e altamente efficaci».

2. Nessuna installazione su disco. A differenza dei malware tradizionali, CypherLoc non scrive file sul sistema operativo. Opera interamente nella memoria del browser, lasciando tracce minime e aggirando le difese antivirus basate su firme. Quando il browser viene chiuso forzatamente, l'attacco scompare — ma la vittima potrebbe aver già chiamato il numero.

3. Sfruttamento della psicologia umana. Il passaggio dal digitale al telefonico è la vera arma letale. Un dipendente medio, di fronte a un browser bloccato con tanto di IP visibile, suoni d'allarme e un numero Microsoft in evidenza, è psicologicamente predisposto a collaborare. Come nota Trend Micro, «lo scareware continua a rappresentare una minaccia per le organizzazioni a causa delle pratiche lavorative e delle superfici di attacco in evoluzione» [trendmicro.com].

I punti deboli che espongono le PMI italiane

Le piccole e medie imprese italiane presentano alcune vulnerabilità specifiche che le rendono bersagli appetibili per campagne come CypherLoc. Trend Micro identifica cinque fattori di rischio particolarmente rilevanti:

1. Lavoro da remoto e modelli ibridi: i dipendenti utilizzano spesso dispositivi personali o reti non protette, aumentando l'esposizione a siti compromessi e annunci malevoli
2. Patching incoerente: browser non aggiornati e plugin obsoleti moltiplicano le vulnerabilità sfruttabili
3. Fatica da avvisi: chi è abituato a vedere pop-up e notifiche frequenti abbassa la soglia di attenzione, rischiando di non distinguere un alert legittimo da uno malevolo
4. Formazione cybersecurity limitata: senza programmi di awareness regolari, i dipendenti non riconoscono le tattiche scareware
5. Privilegi utente permissivi: in molte PMI gli utenti hanno diritti di amministratore locale, facilitando l'eventuale installazione di software suggerito dai truffatori

A questi si aggiunge un fattore culturale tipicamente italiano: la propensione a risolvere i problemi «al telefono», che rende il passaggio dal browser bloccato alla chiamata vocale particolarmente fluido e naturale per molti utenti.

Come proteggersi: le difese tecniche e organizzative

Proteggersi da CypherLoc e da attacchi scareware simili richiede un approccio a più livelli, che combini strumenti tecnici, configurazioni del browser e formazione del personale. Ecco le contromisure più efficaci, ordinate per priorità di implementazione.

1. Blindare il browser

Il browser è il campo di battaglia principale. Le prime tre azioni da compiere su ogni postazione aziendale:

• Attivare il blocco dei pop-up: tutti i browser moderni (Chrome, Edge, Firefox) dispongono di questa funzione nelle impostazioni. Non blocca ogni minaccia, ma aggiunge un primo filtro essenziale
• Installare un ad-blocker affidabile: estensioni come uBlock Origin riducono drasticamente la superficie di attacco veicolata da annunci malevoli. SentinelOne raccomanda esplicitamente l'uso di «blocchi pop-up e filtri pubblicitari per impedire allo scareware di mostrare avvisi falsi» [sentinelone.com]
• Disabilitare le notifiche del browser da fonti non verificate: molti attacchi scareware sfruttano il sistema di notifiche push per mostrare falsi alert di sistema. Revocare i permessi di notifica a siti sconosciuti è una contromisura immediata

2. Filtraggio DNS e navigazione sicura

Un servizio di filtraggio DNS blocca la risoluzione dei domini malevoli prima ancora che il browser possa caricare la pagina. A differenza di un antivirus tradizionale, opera a livello di rete e intercetta le minacce indipendentemente dal dispositivo o dal browser utilizzato. Per le PMI con più postazioni, un DNS filtering centralizzato — come il servizio Navigazione Sicura offerto da Neomedia — rappresenta una delle difese con il miglior rapporto costo/efficacia contro lo scareware: blocca il collegamento prima che il payload possa anche solo tentare di attivarsi. Per approfondire il funzionamento del DNS e il suo ruolo nella sicurezza, è disponibile la guida completa DNS 2026.

3. Protezione email anti-phishing

Poiché CypherLoc arriva via email, filtri anti-phishing efficaci sono la prima linea di difesa. Le soluzioni di email security dovrebbero includere:

• Sandboxing degli allegati e dei link (anche se CypherLoc elude le sandbox tradizionali, molti altri attacchi vengono fermati)
• Riscrittura degli URL in tempo reale per verificare la reputazione del dominio di destinazione
• Analisi comportamentale per rilevare pattern di phishing anomali

Per un approfondimento sulle tecniche di phishing e sulle difese più aggiornate, si rimanda alla guida completa al phishing 2026.

4. Formazione del personale: la difesa che nessun software può sostituire

Nessuna tecnologia può fermare un dipendente che, con il browser bloccato, decide di chiamare il numero verde visualizzato sullo schermo. La formazione deve insegnare tre comportamenti chiave:

1. Riconoscere le email di phishing: mittente sospetto, urgenza innaturale, richieste insolite, allegati inattesi
2. Non chiamare mai numeri visualizzati in pop-up di sistema: Microsoft, Google e Apple non mostrano numeri di telefono in alert di sicurezza nel browser. Mai
3. Sapere a chi segnalare internamente: ogni azienda dovrebbe avere un referente (interno o esterno) a cui inoltrare immediatamente email sospette e segnalare comportamenti anomali del browser

Come riassume SentinelOne: «la migliore difesa contro lo scareware è la consapevolezza. Prenditi il tempo necessario per informare te stesso e i tuoi dipendenti sulle tattiche comuni dello scareware e insegnagli a riconoscere le minacce» [sentinelone.com].

Cosa fare se il browser è già stato bloccato: il piano d'azione

Se CypherLoc ha già colpito e il browser è bloccato, la priorità assoluta è una sola: non chiamare il numero visualizzato. Ecco la sequenza operativa da seguire, valida per qualsiasi scenario scareware:

1. Non cliccare su nulla nella pagina. Qualsiasi interazione potrebbe peggiorare la situazione o attivare ulteriori payload
2. Chiudere forzatamente il browser. Su Windows: Ctrl+Alt+Canc → Task Manager → trovare il processo del browser → Termina attività. Su Mac: Command+Option+Esc → selezionare il browser → Uscita forzata. Se il browser non risponde, spegnere fisicamente il dispositivo
3. Non riaprire il browser immediatamente. Molti browser moderni ripristinano automaticamente le schede della sessione precedente, che riattiverebbero il blocco. Aprire prima le impostazioni del browser da un altro dispositivo e disabilitare il ripristino automatico delle schede
4. Eseguire una scansione completa con l'antivirus. Anche se CypherLoc non installa file su disco, è buona prassi verificare che non ci siano altri malware. Assicurarsi che l'antivirus sia aggiornato alle ultime definizioni
5. Svuotare cache e cookie del browser. Dalla schermata delle impostazioni (non dalla sessione bloccata), cancellare tutti i dati di navigazione, inclusi cookie, cache e dati dei siti. «In questo modo si riduce il rischio di reinfezioni», raccomanda SentinelOne [sentinelone.com]
6. Segnalare l'accaduto. In ambito aziendale, informare immediatamente il responsabile IT o il referente sicurezza. In ambito privato, segnalare l'email di phishing alla Polizia Postale tramite il portale commissariatodips.it

Confronto tra le soluzioni di protezione: vantaggi e limiti

Non esiste una soluzione unica che protegga da ogni variante di scareware. La tabella seguente sintetizza le principali opzioni con i relativi trade-off.

Soluzione	Protezione contro CypherLoc	Vantaggi	Limiti	Costo indicativo per PMI
Filtraggio DNS	Alta (blocca il dominio prima del caricamento)	Protegge tutti i dispositivi in rete, indipendentemente dal browser; gestione centralizzata	Non blocca link abbreviati o domini non ancora categorizzati; richiede configurazione di rete	€5-15/mese per postazione
Antivirus endpoint	Media (CypherLoc non scrive su disco)	Protezione completa da malware tradizionale; alcune suite includono moduli anti-phishing	Poco efficace contro minacce browser-based senza firma; può essere eluso dalle tecniche di offuscamento	€20-50/mese per postazione
Email security gateway	Alta (blocca l'email prima che arrivi)	Ferma il vettore di attacco iniziale; sandboxing e URL rewriting	Non protegge da link ricevuti via SMS, social media o visitati accidentalmente	€3-10/mese per casella
Formazione dipendenti	Altissima (ultima linea di difesa)	Efficace contro ogni variante di ingegneria sociale; nessun costo tecnologico	Richiede aggiornamento costante; l'efficacia cala senza esercitazioni pratiche (simulazioni di phishing)	€15-30/dipendente per sessione
Ad-blocker + blocco pop-up	Media-Bassa	Gratuito, immediato, riduce superficie d'attacco generale	Non blocca attacchi veicolati via email diretta; alcuni siti legittimi potrebbero non funzionare	Gratuito

Quando conviene investire e quando no

Per una PMI italiana con meno di 10 dipendenti e senza dati sensibili trattati, la combinazione minima consigliata è: filtraggio DNS + formazione base + ad-blocker. Il costo è contenuto (indicativamente sotto i €50/mese totali) e copre la maggior parte dei vettori di attacco scareware.

Per aziende con più di 20 dipendenti, dati personali trattati o compliance GDPR stringente, diventa giustificato aggiungere un email security gateway e un antivirus endpoint di fascia enterprise con modulo anti-phishing integrato. L'investimento sale a circa €300-600/mese, ma il costo di un singolo incidente — tra furto credenziali, interruzione operativa e potenziali sanzioni — è quasi certamente superiore.

Quando NON serve un investimento aggiuntivo: se l'azienda opera già con una suite Microsoft 365 Business Premium, le funzionalità integrate di Defender for Office 365 e Microsoft Defender for Endpoint offrono già una protezione significativa contro phishing e minacce browser-based. In questo caso, la priorità è configurare correttamente ciò che già si possiede, piuttosto che acquistare nuovi strumenti.

CypherLoc nel panorama delle minacce 2026: cosa cambia

La campagna CypherLoc non è un caso isolato, ma il sintomo di una tendenza più ampia: lo spostamento degli attacchi verso il browser come superficie primaria. A differenza del ransomware, che richiede exploit o vulnerabilità per infiltrarsi, lo scareware moderno chiede alla vittima di aprire volontariamente la porta — e CypherLoc ha dimostrato che le tecniche di offuscamento possono rendere quella porta invisibile ai sensori.

Rispetto al phishing tradizionale, che ruba credenziali tramite pagine di login contraffatte, CypherLoc aggiunge un tassello: l'interazione umana telefonica, che aggira ogni difesa tecnologica perché opera su un canale — la voce — dove i filtri automatici non arrivano. È la stessa logica delle truffe di «supporto tecnico Microsoft» che da anni colpiscono gli utenti domestici, ma industrializzata e potenziata con offuscamento crittografico.

Per un quadro completo delle strategie di difesa perimetrale e in tempo reale, si rimanda all'approfondimento sulla cybersecurity per PMI italiane.

Conclusioni: tre azioni da fare oggi

CypherLoc è la dimostrazione che lo scareware, nel 2026, non è più il pop-up grossolano di qualche anno fa. È un attacco sofisticato, che combina offuscamento crittografico, ingegneria sociale e interazione umana dal vivo. Ha già raggiunto 2,8 milioni di utenti, e il numero è destinato a crescere finché la campagna rimarrà attiva.

Tre azioni concrete da implementare oggi, prima che il browser di un dipendente o di un familiare venga bloccato:

1. Attivare un filtro DNS aziendale che blocchi i domini malevoli a monte — è la difesa più rapida ed efficace contro questa specifica minaccia
2. Programmare una sessione di awareness di 30 minuti con tutti i dipendenti: mostrare uno screenshot di un browser bloccato da scareware e spiegare che l'unica azione corretta è chiudere forzatamente il browser e segnalare, mai chiamare
3. Verificare che i backup siano funzionanti: anche se CypherLoc non è ransomware, il principio di precauzione resta valido. Un backup verificato è la polizza assicurativa contro qualsiasi minaccia

La cybersecurity non è una questione di strumenti perfetti, ma di strati di difesa che si sostengono a vicenda. CypherLoc ha dimostrato di saperne eludere alcuni. Non bisogna dargli la possibilità di eluderli tutti.

]]>