Narzędzia antywirusowe są w tym przypadku bezradne, niemniej wystarczy chwila refleksji, aby uchronić się przed opłakanymi w skutkach konsekwencjami posunięcia.
Jeśli strona wymaga od ciebie uruchomienia systemowego terminala – uciekaj
Scenariusz ataku ClickFix opiera się na sprytnym wykorzystaniu funkcji systemu Windows oraz nieuwagi użytkownika. Cały proces przebiega w kilku krokach, z których pierwszy dzieje się całkowicie bez wiedzy i interakcji ze strony ofiary.
W momencie załadowania spreparowanej, fałszywej strony internetowej uruchamiany jest ukryty skrypt JavaScript. Bez jakiegokolwiek kliknięcia, zgody czy wiedzy użytkownika, skrypt ten automatycznie zapisuje w schowku systemowym złośliwe polecenie PowerShell. Następnie witryna wyświetla komunikat imitujący weryfikację CAPTCHA i instruuje użytkownika, aby nacisnął kombinację klawiszy „Win + R”. Działanie to, jak niektórzy z nas wiedzą, wywołuje okno „Uruchom” w systemie Windows. Następnie użytkownik jest proszony o użycie skrótu „Ctrl + V” (co powoduje wklejenie komendy zapisanej zawczasu w schowku) i zatwierdzenie operacji klawiszem Enter. Później zaś zaczynają się kłopoty.
W ten sposób złośliwy kod zostaje wykonany z pełnymi uprawnieniami zalogowanego użytkownika. Cyberprzestępcy nie muszą ani wykorzystywać żadnych zaawansowanych luk w zabezpieczeniach, ani skomplikowanych podatności systemowych, ani nawet kiwnąć palcem – w zasadzie całą pracę wykonuje za nich sama ofiara.
Dlaczego ClickFix jest tak skuteczny?
Eksperci ds. cyberbezpieczeństwa wskazują, że wysoka efektywność ataku ClickFix wynika z trzech głównych czynników. Po pierwsze, fałszywy panel weryfikacyjny wygląda identycznie jak powszechnie stosowane, autentyczne systemy CAPTCHA, co skutecznie usypia czujność użytkowników. Po drugie, komunikaty i polecenia wyświetlane na ekranie brzmią bardzo technicznie, co sprawia, że sprawiają wrażenie godnych zaufania, a co za tym idzie – realizacja przedstawionych w nich kroków zdaje się uzasadniona. I wreszcie po trzecie – ponieważ to sam użytkownik fizycznie wprowadza i uruchamia polecenie, systemowe zabezpieczenia traktują cały proces jako świadome działanie właściciela sprzętu, a nie zewnętrzny atak, przez co nie interweniują.
Szkody wywołane przez ClickFix są natychmiastowe. Złośliwy kod wykonuje się w tle w ułamku sekundy, a do tej pory udało się zdobyć informacje nt. kilku różnych wynikłych z jego powodu infekcji. Zalicza się do nich przede wszystkim programy wykradające dane, trojany pozwalające na pełne przejęcie kontroli nad systemem, a także narzędzia do masowego przechwytywania poświadczeń, danych logowania i haseł.
Jak nie dać się oszukać?
Aby skutecznie chronić się przed tą niebezpieczną kampanią, należy pamiętać o fundamentalnych zasadach działania sieciowych systemów weryfikacji, a więc powinniśmy mieć na uwadze, iż:
- prawdziwe systemy CAPTCHA nigdy nie wymagają otwierania systemowego terminala, ani tym bardziej wklejania do niego skryptu;
- zabezpieczenia nie poproszą nas o korzystanie ze skrótów klawiszowych.
Choć dla wielu z nas może być to oczywistością, dla starszych osób i tych nieobeznanych z technologią już niekoniecznie. Mając to na uwadze, powinniśmy więc uświadomić zarówno rodziców, jak i młodsze rodzeństwo, które na codzień korzysta głównie z telefonu, o istnieniu zagrożenia i zadbać o to, aby nie dali się nabrać oszustom.
0 komentarzy