Un sofisticato schema di truffa sta colpendo le pagine di supporto di aziende del calibro di Apple, PayPal, Netflix, Microsoft, HP, Facebook e Bank of America: i cybercriminali sfruttano le inserzioni sponsorizzate di Google per indirizzare gli utenti verso i siti ufficiali delle aziende, ma usando una tecnica nota come search parameter injection, riescono a far comparire numeri di telefono falsi direttamente nelle pagine di assistenza autentiche, inducendo le vittime a chiamare i truffatori convinte di parlare con il vero servizio clienti.
Il meccanismo, descritto dalla società di sicurezza Malwarebytes, è tanto semplice quanto insidioso: i malintenzionati acquistano annunci sponsorizzati che compaiono in cima ai risultati di ricerca per termini come “supporto Apple” o “assistenza PayPal”. Questi annunci mostrano il dominio ufficiale dell’azienda, ma aggiungono una serie parametri nascosti all’indirizzo web. Quando l’utente clicca sull’annuncio, viene effettivamente portato sul vero sito della compagnia, ma i parametri aggiunti alla URL fanno sì che il sito mostri un numero di telefono inserito dai truffatori invece di quello reale.
Un esempio di un numero fasullo inserito in un sito web ufficiale – Fonte: Malwarebytes
La truffa sfrutta una vulnerabilità nei sistemi di ricerca interna di molti siti, che riflettono senza controllo i parametri inseriti nella query. In questo modo il numero fasullo appare in una posizione di rilievo, spesso all’interno di un messaggio che invita a chiamare per ricevere assistenza urgente. Il tutto avviene senza che l’utente abbia alcun motivo di sospettare che ci sia qualcosa che non va: la barra degli indirizzi mostra il dominio corretto, il layout della pagina è quello autentico e il numero falso si mimetizza perfettamente tra le informazioni ufficiali.
Si capisce immediatamente quanto possa essere efficace questa tecnica, che riesce a manipolare la fiducia dell’utente che nella barra degli indirizzi vede l’indirizzo ufficiale dell’azienda a cui si sta rivolgendo. Non solo, il rischio di cadere vittima di questa truffa aumenta nel caso in cui l’utente sia affetto da un qualche tipo di disabilità visiva oppure stia cercando rapidamente una soluzione ad un problema da risolvere in fretta.
Chiamando il numero visualizzato, l’utente viene messo in contatto con un operatore che si spaccia per un operatore ufficiale del supporto clienti dell’azienda. A quel punto, il truffatore può tentare di ottenere dati personali, informazioni sulle carte di credito o addirittura convincere la vittima a concedere l’accesso remoto al proprio computer. Nei casi che coinvolgono banche o servizi di pagamento l’obiettivo finale è, prevedibilmente, quello di svuotare i conti della vittima.
Questa tecnica è particolarmente subdola perché sfrutta una falla strutturale: i siti non distinguono tra una ricerca legittima e una manipolata, e quindi “riflettono” qualsiasi parametro venga passato tramite la URL. Fino a quando le aziende non implementeranno filtri efficaci contro questo tipo di manipolazioni, il rischio rimane concreto per milioni di utenti.
Malwarebytes ha già aggiornato il proprio prodotto di sicurezza per browser, che ora è in grado di segnalare e bloccare questi tentativi di manipolazione. Tuttavia, la soluzione più efficace resta la prevenzione: il consiglio è quello di evitare di cliccare su annunci sponsorizzati per accedere ai servizi di assistenza e preferire sempre i risultati organici o i link ufficiali presenti nelle comunicazioni aziendali o nei canali social verificati. Si tratta di un suggerimento che vale anche in maniera più generale: spesso i risultati sponsorizzati sono usati dai malintenzionati per raggirare gli utenti, portandoli su siti fasulli per perpetrare vari tipi di attività criminose.
Ad oggi, secondo quanto riferisce Malwarebytes, la tecnica è stata osservata principalmente sulle inserzioni di Google; non è ancora chiaro se possa essere replicata su altre piattaforme pubblicitarie.