Die Forscher von Push Security warnen vor einem äußerst überzeugenden ClickFix-Angriff, der sich als Cloudflare-Verifizierungsprüfung ausgibt. ClickFix ist eine Social-Engineering-Technik, die das Opfer dazu verleitet, einen bösartigen Befehl zu kopieren und einzufügen und ihn dann auf seinem Computer auszuführen.
In dem von Push Security beobachteten Fall enthält die Phishing-Seite ein Pop-up-Fenster, das von Cloudflare zu stammen scheint und den Benutzer anweist, die Tastaturkürzel zu drücken, die zum Öffnen eines Terminals und zum Ausführen eines Befehls erforderlich sind. Der bösartige Befehl wird mithilfe von JavaScript automatisch in die Zwischenablage kopiert, so dass der Benutzer lediglich das Terminal öffnen und Strg+V (bzw. Befehl+V auf dem Mac) drücken muss.
Die Box enthält sogar ein eingebettetes Video, das dem Benutzer zeigt, was zu tun ist. Dieses Video ist entweder für Windows- oder Mac-Nutzer zugeschnitten, je nachdem, welches System das Opfer verwendet. Die Box verfügt auch über einen Countdown-Timer, um den Benutzer zum schnellen Handeln zu bewegen.
„Dies ist ein unglaublich raffiniertes Beispiel – es sieht fast so aus, als hätte Cloudflare eine neue Art von Bot-Check-Service geliefert“, schreiben die Forscher. „Das eingebettete Video, der Countdown-Timer und der Zähler für ‚in der letzten Stunde verifizierte Benutzer‘ dienen alle dazu, das Gefühl der Authentizität zu verstärken und das Opfer unter zusätzlichen Druck zu setzen, die Prüfung abzuschließen.“
Die Forscher stellen fest, dass ClickFix hauptsächlich auf Social Engineering setzt und die technische Abwehr hat Mühe, ihn zu blockieren.
„Obwohl es Möglichkeiten gibt, das Kopieren von Webseiten in die Zwischenablage über Geräteeinstellungen oder Gruppenrichtlinien zu blockieren, bedeutet die praktische Realität von ClickFix, dass diese Methoden nicht effektiv sind“, schreiben die Forscher. „Da ClickFix ein durch Benutzergesten ausgelöstes Einfügeereignis ist (eine Form der Benutzerinteraktion, wie z. B. ein Tastendruck, ist auf der Seite erforderlich, bevor der ClickFix-Köder geladen wird), kann es nicht vom Host aus blockiert werden
Schulungen zum Sicherheitsbewusstsein mit realistischen Phishing-Simulationen kann den Mitarbeitern helfen, wachsam zu sein, auch wenn sie beschäftigt sind. Wenn die Mitarbeiter wissen, dass sie simulierte Phishing-E-Mails erhalten werden, werden sie die echten eher erkennen.
Push Security hat die story.