Fake CAPTCHA eller ClickFix – så luras du att installera skadlig kod
Falska CAPTCHA-sidor, ofta kallade fake CAPTCHA eller ClickFix, är en modern social engineering-teknik där offret luras att tro att en vanlig verifiering krävs. I stället försöker sidan få besökaren att öppna PowerShell, Terminal eller dialogrutan Kör och klistra in ett kommando som installerar skadlig kod.
Det är det som gör attacken så farlig: den ser ut som en säkerhetskontroll men försöker i själva verket få dig att själv starta infektionen. Angripare använder ofta falsk branding från Cloudflare eller liknande välkända tjänster för att skapa falsk trygghet.
Så brukar attacken se ut
Den drabbade sidan ser ofta nästan legitim ut. Besökaren möts av en uppmaning att verifiera sig och därefter flera instruktioner som känns ovanliga för en riktig CAPTCHA.
- En ruta med text som liknar Verify you are human eller Jag är inte en robot
- Instruktioner om att trycka på Win + R, öppna PowerShell eller Terminal
- En uppmaning att klistra in kod eller köra ett kommando
- Visuell branding som försöker efterlikna Cloudflare eller en annan säkerhetstjänst
- Stressande formuleringar som antyder att du inte kommer vidare om du inte följer stegen direkt
En riktig CAPTCHA ska aldrig be dig öppna PowerShell, Terminal eller köra kommandon manuellt. Det är en mycket stark varningssignal.
Varför fungerar det här så ofta?
De flesta av oss är vana vid att klicka oss igenom robotkontroller för att komma vidare till ett dokument, ett formulär, en nedladdning eller ett inloggningssteg. Angriparen utnyttjar just det invanda beteendet. I stället för att bryta sig igenom ett skydd får de användaren att själv hjälpa till.
Det är också vanligt att attacken ligger på webbplatser som vid första ögonkastet ser normala ut: en företagshemsida, en nyhetssida, ett delat dokument eller en länk som skickats vidare i mejl eller chatt.
Saker som bör få alarmklockorna att ringa
- Du ombeds göra flera steg utanför webbläsaren för att verifiera dig
- Du ser instruktioner för Win + R, Ctrl + V eller andra tangentkombinationer
- Sidan försöker få åtkomst till urklipp eller bygger på att du ska klistra in något
- Språket känns stressat, tekniskt konstigt eller ovanligt för en normal verifiering
- Sidan ser nästan legitim ut men något känns fel i design, domännamn eller flöde
- Du möts av ett säkerhetssteg fast du egentligen bara skulle läsa något enkelt eller öppna en länk
Vad händer om du följer instruktionerna?
När offret klistrar in eller kör kommandot kan angriparen få igång en kedja som laddar ner och startar skadlig kod. Målet är ofta att installera en informationsstjälande trojan, ge angriparen en bakdörr eller stjäla inloggningar, cookies och annan känslig data.
I praktiken kan det leda till:
- stulna lösenord och sessioner
- övertagna mejl- eller molnkonton
- spridning vidare in i företagets miljö
- nya attacker mot webbplats, server eller interna system
- dataläckor, bedrägeri eller utpressning
Cloudflare och liknande namn används för att lura
Det är vanligt att bedragare gömmer sig bakom välkända ord, logotyper och formuleringar för att få sidan att kännas legitim. Det betyder inte att tjänsten i sig är attacken, men det gör bedrägeriet svårare att känna igen för en stressad användare. Angripare missbrukar ofta välkända infrastrukturtjänster och säkerhetsord för att försvåra både spårning och blockering.
Vad du ska göra om du ser en sådan sida
- Stäng sidan direkt och följ inga fler steg
- Öppna inte PowerShell, Terminal eller Kör
- Klistra inte in någon kod från sidan
- Besök inte sidan igen från samma länk utan att först kontrollera avsändare och domän
- Rapportera sidan internt om du är på ett företag eller meddela den som skickade länken
Vad du ska göra om du redan hunnit köra kommandot
Om du redan hunnit öppna PowerShell eller Terminal och kört instruktionerna ska du behandla händelsen som en säkerhetsincident.
- Koppla från datorn från nätverket om möjligt
- Byt viktiga lösenord från en annan, ren enhet
- Logga ut aktiva sessioner i mejl, molntjänster och admin-system
- Kör en full säkerhetskontroll och granska om misstänkta processer eller nya filer tillkommit
- Kontrollera om webbläsare, mejl och sparade inloggningar kan ha komprometterats
- Ta hjälp direkt om datorn används i arbete eller har åtkomst till känslig information
Så minskar du risken att bli lurad
- Lär användare att en riktig CAPTCHA aldrig kräver kommandon
- Var extra försiktig med länkar till dokument, nedladdningar och “verifieringar” som känns onödiga
- Ha uppdaterat skydd mot malware och informationsstöld
- Använd tvåfaktorsautentisering där det går
- Begränsa lokala admin-rättigheter på arbetsdatorer
- Ha incidentrutiner för vad som ska göras om någon ändå klickar fel
Behöver ni hjälp?
Om ni misstänker att någon i verksamheten har följt instruktionerna på en falsk CAPTCHA-sida är det viktigt att agera snabbt. Vi hjälper företag att bedöma incidenter, kontrollera datorer, återställa åtkomst och stärka skyddet efteråt.
Behöver ni hjälp med säkerheten för er hemsida eller er IT-miljö? Som webbyrå i Stockholm sedan 2002 hjälper vi företag med allt från webbdesign till cybersäkerhet med WF SecurityCloud™.
Vill du omsätta innehållet i konkreta affärsresultat? Utforska våra tjänster inom Webbdesign, Webbutveckling och SEO, se våra Kundcase, läs vår FAQ eller prenumerera på vårt Nyhetsbrev.
