Os golpistas de suporte técnico tornam os popups chamativos para seu engano

Os golpistas de suporte técnico têm confiado em pop-ups fraudulentos por muitos anos, a fim de assustar as vítimas em potencial para solicitar assistência remota. Estes chamados armários do navegador (ou browlocks) normalmente são originários de anúncios mal-intencionados (malvertising) que podem aparecer em qualquer site, incluindo portais confiáveis ​​online .

O objetivo dos armários do navegador não é apenas assustar, mas também criar a ilusão de que o computador foi bloqueado, o que não é verdade. O que aconteceu é simplesmente que o navegador está preso entre uma onda de diálogos de alerta que não parecem desaparecer, não importa quantas vezes eles sejam clicados.

O Google Chrome é muitas vezes o  navegador mais orientado por causa de sua participação de mercado dominante, mas os pop-ups apresentam vários tipos de navegadores, com páginas de destino específicas para esses navegadores. Por exemplo, uma técnica particularmente viciosa abusou da  API history.pushState HTML5 para literalmente congelar máquinas ao exibir o pop-up falso.

Historicamente, os fabricantes de navegador deixaram os usuários não serem capazes de lidar com esses truques de forma limpa. No entanto, eles parecem ter tomado nota, corrigindo muitos dos problemas que têm a ver com a experiência do usuário, ao mesmo tempo sugerindo outras formas para os webmasters (legítimos) enviar notificações, por exemplo através da API de notificações adequada  .

Infelizmente, os criminosos estão se adaptando também. Apesar das melhores intenções dos desenvolvedores do navegador, os browlocks ainda são a melhor opção para fraudar pessoas inocentes. O seguinte mostra um armário do navegador que entrou no modo de tela cheia depois que o usuário clicou em algum lugar da página. Pressionar a tecla Escape para sair da tela cheia (conforme instruído pelo navegador) desencadeou um loop malicioso no código que impediu o fechamento do pop-up fraudulento (sem recorrer ao Gerenciador de Tarefas):

Esta é uma técnica semelhante à que relatamos recentemente com invasões de movimentação persistentes, na medida em que usa um pop-under como um “ajudante”. Na verdade, existem três camadas diferentes para fazer isso funcionar:

• uma janela de fundo no modo de tela cheia
• outra janela que se sobrepõe (ativada por clique ou tecla Escape)
• o pop-under (disparado no clique)

Os criminosos posicionaram e dimensionaram o pop-under de tal forma que ele apenas exibe a parte “Stay” da janela de diálogo “Leave” ou “Stay”, deixando os usuários muito pouca escolha.