• ClickFix to technika inżynierii społecznej wykorzystywana m.in. w atakach phishingowych prowadzących do fałszywego reCAPTCHA.
• Aż o 500% wzrosło wykorzystanie tej techniki w ostatnim półroczu w odniesieniu do II połowy 2024 r. Jest to jeden z najszybciej rosnących typów zagrożeń, odpowiadający za blisko 8% wszystkich zablokowanych ataków i zajmujący drugie miejsce w rankingu zagrożeń.
• Polska znajduje się na 3. miejscu pod względem ataków.
Błąd, który jest zachętą, czyli jak działa ClickFix
Wszyscy użytkownicy internetu doskonale znają reCAPTCHA, czyli popularną metodę weryfikacji, mającą na celu potwierdzenie, że odwiedzający stronę nie są botami.
Proces ten przybiera różną formę, od przepisywania niewyraźnego tekstu, przez wybieranie odpowiednich obrazków, aż po przeciąganie elementów układanki na właściwe miejsce. Z biegiem czasu użytkownicy przyzwyczaili się do rosnącej różnorodności wyzwań reCAPTCHA, nie dziwiąc się nawet nowym ich odmianom, jak np. kopiowanie i wklejanie danych. Ten właśnie mechanizm postanowili wykorzystać cyberprzestępcy, zamieniając frustrującą, lecz znaną funkcję w skuteczne narzędzie włamania, tworząc innowacyjną technikę inżynierii społecznej, nazywaną roboczo ClickFix.
W tym nowym rodzaju oszustwa wykorzystuje się zaufanie i przyzwyczajenie użytkowników do potrzeby różnego rodzaju weryfikacji online.
– Mechanizm oszustwa jest często inicjowany poprzez klasyczny phishing, czyli złośliwe wiadomości e-mail z załącznikami HTML, wiadomości imitujące popularne usługi Microsoft Word lub OneDrive, lub poprzez fałszywe strony internetowe podszywające się pod znane usługi, takie jak Booking.com czy Google Meet. Na tych stronach pojawia się wyskakujące okienko, które fałszywie informuje, że należy rozwiązać rzekomy błąd, zanim możliwy będzie dostęp do treści. Wówczas zamiast tradycyjnych reCAPTCHA, cyberprzestępcy prezentują ofiarom fałszywe komunikaty o błędzie lub potrzebie weryfikacji, instruując ich do kliknięcia lub skopiowania i wklejenia złośliwego skryptu do wiersza poleceń, a następnie jego uruchomienia. W ten sposób, pod pretekstem „naprawiania” wymyślonego problemu, nieświadomi użytkownicy sami instalują na swoich urządzeniach złośliwe oprogramowanie.
Lista zagrożeń, do których prowadzi ClickFix przez uruchomienie kodu na urządzeniu, stale rośnie i obecnie obejmuje m.in.: infostealery (programy kradnące dane, np. znane i wykorzystywane wcześniej Lumma Stealer czy Danabot), ransomware czy trojany zdalnego dostępu– dodaje Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
Fałszywa weryfikacja reCAPTCHA nakazująca ofierze wklejenie i wykonanie polecenia na urządzeniu.
Zagrożenie, które rośnie
Dane ESET za I półrocze 2025 r. zawarte w Threat Report są alarmujące – wykorzystanie techniki ClickFix wzrosło o ponad 500% w porównaniu do drugiej połowy 2024 roku. Ten typ zagrożenia na początku roku praktycznie nie istniał, a teraz stał się jednym z wiodących zagrożeń, odpowiadający za blisko 8% wszystkich zablokowanych ataków i zajmujący drugie miejsce w rankingu Top 10 zagrożeń w danych telemetrycznych ESET. Co więcej, jak zauważają analitycy ESET, prawdziwa skala tego zagrożenia może być jeszcze wyższa, ponieważ wiele etapów ataku jest wykrywanych pod różnymi nazwami. Wśród krajów z największą liczbą detekcji ClickFix w telemetrii ESET, Polska zajmuje wysoką pozycję, odnotowując ponad 5% wszystkich wykryć, obok Japonii (23%), Peru (6%), Hiszpanii i Słowacji (każda po ponad 5%). To podkreśla pilną potrzebę zwiększenia świadomości wśród polskich użytkowników internetu.
Skuteczność ClickFix sprawiła, że cyberprzestępcy zaczęli sprzedawać specjalne kreatory umożliwiające innym atakującym tworzenie stron docelowych z zaimplementowanym mechanizmem.
– ClickFix szybko stał się jednym z najważniejszych nowych wektorów cyberprzestępczych. To, co czyni tę nową technikę inżynierii społecznej skuteczną, to fakt, że jest wystarczająco prosta do wykonania dla ofiary, dzięki czytelnym instrukcjom od przestępców i wystarczająco wiarygodna, aby wyglądała jak rozwiązanie wymyślonego problemu. Ponadto wykorzystuje prawdopodobieństwo, że ofiary nie zwrócą uwagi i nie zrozumieją kodu wklejanego i wykonywanego na swoim urządzeniu. Użytkownicy powinni zachować szczególną ostrożność zawsze, gdy ktokolwiek zachęca do wykonania akcji, naprawienia czegokolwiek poprzez kliknięcie lub rozwiązania danego problemu przez polecenie typu „kopiuj-wklej” – podsumowuje Kamil Sadkowski.