ClickFix i fałszywe CAPTCHA: jak działa atak

TL;DR

ClickFix nie polega na technicznym przełamaniu CAPTCHA. Atakujący udają CAPTCHA, ekran bezpieczeństwa, błąd przeglądarki albo instrukcję naprawy, a następnie prowadzą użytkownika do wykonania polecenia w systemie.

Fraza „ClickFix jak obejść CAPTCHA” jest więc myląca. W praktyce nie chodzi o ominięcie zabezpieczenia, tylko o podszycie się pod znany element bezpieczeństwa i przeniesienie decyzji poza przeglądarkę. Strona może wyglądać jak zwykła weryfikacja człowieka, ale krytyczny moment pojawia się dopiero wtedy, gdy użytkownik otwiera narzędzie systemowe, wkleja polecenie i je uruchamia.

Dla firmy to ważny scenariusz ćwiczeń awareness. Pracownik może rozpoznać podejrzany link, ale nadal dać się poprowadzić przez ekran, który wygląda jak procedura techniczna. Dlatego w programie security awareness trzeba ćwiczyć nie tylko kliknięcie, ale też zachowanie po kliknięciu.

Czym jest ClickFix

ClickFix to technika socjotechniczna, w której napastnik przekonuje użytkownika, że musi wykonać krótką instrukcję, aby naprawić problem, potwierdzić tożsamość, przejść weryfikację albo uzyskać dostęp do dokumentu, spotkania lub strony.

W klasycznym phishingu użytkownik zwykle trafia do fałszywego logowania i wpisuje dane. W ClickFix użytkownik jest prowadzony do wykonania czynności technicznej. Może zobaczyć komunikat o błędzie, fałszywą weryfikację „nie jestem robotem”, okno udające kontrolę bezpieczeństwa albo instrukcję typu: otwórz narzędzie systemowe, wklej przygotowany tekst, zatwierdź.

Taki scenariusz działa, ponieważ wygląda jak pomoc. Użytkownik nie ma poczucia, że pobiera malware. Ma poczucie, że wykonuje instrukcję, która usuwa przeszkodę. To różnica, która sprawia, że ClickFix dobrze pasuje do fałszywych spotkań, dokumentów, pobrań, porad technicznych, rekrutacji, serwisów SaaS i stron udających zabezpieczenia.

Dlaczego pytanie „jak obejść CAPTCHA” prowadzi w złą stronę

CAPTCHA kojarzy się z zabezpieczeniem, które ma odróżnić człowieka od automatu. W legalnym scenariuszu użytkownik zaznacza pole, przepisuje tekst, wybiera elementy na obrazku albo przechodzi cichą ocenę zachowania przeglądarki. Nie ma powodu, aby taka weryfikacja wymagała otwierania okna Uruchom, PowerShella, Terminala, wiersza polecenia albo instalowania narzędzia.

ClickFix wykorzystuje właśnie to skojarzenie. Atakujący nie musi łamać CAPTCHA. Może pokazać fałszywy ekran i opisać go językiem bezpieczeństwa. Użytkownik widzi znany format, więc łatwiej akceptuje kolejne kroki. Problem zaczyna się wtedy, gdy „weryfikacja” wychodzi poza przeglądarkę.

Warto zapamiętać prostą granicę operacyjną: CAPTCHA działa w stronie albo aplikacji. Jeżeli ekran CAPTCHA każe uruchomić narzędzie systemowe, wkleić polecenie lub zatwierdzić skrypt, nie jest to normalna weryfikacja człowieka. To sytuacja do przerwania i zgłoszenia.

Jak wygląda typowy scenariusz ClickFix

ClickFix zwykle zaczyna się od wejścia na stronę przygotowaną przez napastnika albo skompromitowaną wcześniej legalną witrynę. Użytkownik może trafić tam z maila, reklamy, komunikatora, wyniku wyszukiwania, kodu QR, zaproszenia na spotkanie albo linku do dokumentu.

Na stronie pojawia się komunikat, który ma rozwiązać konkretny problem: weryfikacja człowieka, błąd odtwarzania, problem z mikrofonem, brak dostępu, kontrola bezpieczeństwa albo konieczność odświeżenia komponentu. Komunikat jest krótki i prowadzi użytkownika krok po kroku.

W tle strona może przygotować tekst do schowka albo pokazać instrukcję skopiowania polecenia. Następnie prosi użytkownika, aby otworzył narzędzie systemowe i wkleił przygotowaną treść. Dopiero zatwierdzenie polecenia uruchamia właściwy etap ataku. Może to być pobranie złośliwego skryptu, loadera, infostealera, narzędzia zdalnego dostępu albo kolejnego komponentu używanego później w kompromitacji.

Ta sekwencja jest ważna dla edukacji pracowników. Samo zobaczenie fałszywej CAPTCHA nie oznacza jeszcze kompromitacji. Samo kliknięcie w pole „nie jestem robotem” także nie musi być końcem sprawy. Największe ryzyko pojawia się wtedy, gdy użytkownik wykonuje instrukcję systemową, której sensu nie rozumie i której nie otrzymał z zaufanego kanału firmowego.

Po czym rozpoznać fałszywą CAPTCHA w ClickFix

Nie każda CAPTCHA jest podejrzana. Podejrzana jest taka, która zaczyna zachowywać się jak instrukcja administracyjna. Legalna strona może poprosić o rozwiązanie testu w przeglądarce, ale nie powinna przenosić użytkownika do systemu operacyjnego.

Czerwone flagi pojawiają się wtedy, gdy ekran weryfikacji prosi o użycie skrótu klawiaturowego, uruchomienie okna systemowego, wklejenie tekstu ze schowka, wykonanie polecenia, zainstalowanie dodatku albo „naprawienie” błędu komendą. Podobnie podejrzane są komunikaty, które sugerują awarię mikrofonu, kamery, przeglądarki lub dostępu do dokumentu, a jednocześnie proponują bardzo szybką procedurę naprawy.

Istotny jest też kontekst. Jeśli pracownik oczekuje dokumentu z księgowości, zaproszenia na spotkanie, pliku HR, repozytorium kodu lub panelu klienta, może chcieć jak najszybciej przejść dalej. ClickFix żeruje na tej presji. Ekran wygląda jak przeszkoda do usunięcia, a nie jak atak.

Właśnie dlatego testy phishingowe dla firm powinny czasem obejmować etap po kliknięciu. Sama reakcja na wiadomość nie wystarcza, gdy atak prowadzi przez fałszywe okno pomocy, CAPTCHA albo komunikat techniczny.

Dlaczego ClickFix jest groźny w środowisku firmowym

ClickFix uderza w styk człowieka, przeglądarki i systemu operacyjnego. Filtr poczty może zatrzymać część wiadomości. Przeglądarka może ostrzec przed częścią podejrzanych stron. EDR może zareagować na część zachowań procesu. Jednak scenariusz nadal opiera się na użytkowniku, który sam uruchamia polecenie, często z przekonaniem, że wykonuje poprawną procedurę.

W środowisku firmowym skutki mogą wykraczać poza jedno urządzenie. Infostealer może próbować pozyskać zapisane hasła, ciasteczka sesyjne, dane przeglądarki, tokeny, informacje o systemie albo pliki. Narzędzie zdalnego dostępu może otworzyć drogę do dalszego rozpoznania. Loader może pobrać kolejne komponenty. W zależności od uprawnień użytkownika, konfiguracji urządzenia i jakości monitoringu, pojedyncza stacja robocza może stać się punktem wejścia do poważniejszego incydentu.

To nie znaczy, że każdy kontakt z fałszywą CAPTCHA kończy się katastrofą. Znaczy to, że firma potrzebuje jasnej procedury: co użytkownik ma przerwać, co ma zgłosić, czego nie ma usuwać i jak szybko IT lub Security mają zareagować.

Przykłady przynęt: nie tylko CAPTCHA

CAPTCHA jest najbardziej rozpoznawalnym motywem, ale ClickFix nie ogranicza się do jednego ekranu. Badacze opisywali scenariusze udające błędy dokumentów, problemy z przeglądarką, fałszywe aktualizacje, komunikaty spotkań online, instrukcje dla użytkowników macOS, porady techniczne i problemy z dostępem do usługi.

W firmie taki motyw może pojawić się przy spotkaniu z dostawcą, rekrutacji, obsłudze klienta, zgłoszeniu helpdeskowym, pracy z dokumentem, panelu SaaS albo repozytorium kodu. Dla zespołów IT i deweloperskich szczególnie ważne są scenariusze, w których użytkownik jest przyzwyczajony do terminala i komend. Wtedy granica między prawdziwą instrukcją techniczną a przynętą bywa mniej oczywista. Ten obszar warto uwzględnić zwłaszcza w organizacjach opisanych na stronie software house i IT.

ClickFix może też łączyć się z innymi technikami. Link może przyjść w mailu, SMS-ie albo komunikatorze. Kod QR może przenieść użytkownika poza firmową pocztę. Fałszywa strona może najpierw udawać legalny proces, a dopiero później pokazać weryfikację. Dlatego temat dobrze łączy się z podstawami opisanymi w artykule co to jest phishing oraz z mechanizmem quishingu, gdy wejściem do scenariusza jest kod QR.

Co powinien zrobić użytkownik, gdy CAPTCHA prosi o komendę

Użytkownik nie musi analizować kodu ani rozstrzygać, jaka rodzina malware stoi za kampanią. Ma rozpoznać naruszenie prostej zasady: strona internetowa nie powinna prosić o uruchamianie poleceń systemowych.

Jeżeli ekran CAPTCHA, komunikat błędu albo instrukcja weryfikacji prosi o otwarcie narzędzia systemowego, należy przerwać proces. Nie wklejać tekstu. Nie zatwierdzać polecenia. Nie instalować dodatku tylko dlatego, że strona obiecuje naprawę problemu.

Następny krok zależy od procedury w firmie. Najlepszy wariant to zgłoszenie do IT, Security lub SOC z krótkim opisem: skąd przyszedł link, jaka strona się otworzyła, co było na ekranie, czy polecenie zostało skopiowane, czy zostało uruchomione. Zgłoszenie jest ważniejsze niż samodzielne „sprzątanie”, bo usuwa ślady potrzebne do oceny ryzyka.

W prywatnym kontekście warto zamknąć stronę, nie wykonywać instrukcji i zweryfikować adres usługi ręcznie, wpisując go samodzielnie albo korzystając z zapisanej zakładki. W pracy lepiej nie testować strony ponownie na własną rękę.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik wkleił i uruchomił polecenie z fałszywej CAPTCHA, sytuację trzeba potraktować jak potencjalny incydent. Nie należy zakładać, że „nic się nie stało”, tylko dlatego, że nie pojawił się widoczny błąd albo komunikat o infekcji.

Pierwszy krok to odłączenie urządzenia od sieci, jeżeli firmowa procedura na to pozwala. Chodzi o ograniczenie dalszej komunikacji i zmniejszenie ryzyka rozprzestrzeniania się skutków. Następnie trzeba zgłosić zdarzenie do IT, Security lub SOC i podać możliwie konkretny opis: czas zdarzenia, źródło linku, nazwę strony, wykonane kroki, zrzut ekranu, jeśli istnieje, oraz informację, czy polecenie zostało zatwierdzone.

Nie warto usuwać historii, plików tymczasowych ani zawartości schowka przed kontaktem z zespołem bezpieczeństwa. Takie ślady mogą pomóc w ustaleniu, co zostało uruchomione. Zmianę haseł najlepiej wykonać z innego, zaufanego urządzenia. W środowisku firmowym potrzebne może być unieważnienie sesji, sprawdzenie logowań, kontrola tokenów, analiza aktywności konta, weryfikacja reguł pocztowych i ocena, czy użytkownik miał dostęp do systemów o podwyższonym znaczeniu.

Jeżeli urządzenie było używane do bankowości, księgowości, portfeli kryptowalut, paneli administracyjnych albo systemów klientowskich, reakcja powinna objąć także te obszary. ClickFix często prowadzi do kradzieży danych z przeglądarki i sesji, więc sama zmiana jednego hasła może nie wystarczyć.

Jak przygotować organizację na ClickFix

ClickFix wymaga połączenia edukacji, procedur i kontroli technicznych. Sama kampania informacyjna nie wystarczy, jeśli użytkownik nie wie, gdzie zgłosić podejrzany ekran. Sama technologia też nie wystarczy, jeśli pracownik uzna, że komunikat techniczny jest częścią normalnej pracy.

W warstwie awareness warto ćwiczyć konkretne decyzje. Użytkownik powinien umieć odpowiedzieć na trzy pytania: czy strona prosi mnie o wyjście poza przeglądarkę, czy rozumiem polecenie, które mam wykonać, i czy instrukcja pochodzi z kanału, któremu ufamy w firmie. Jeśli odpowiedź jest niejasna, proces trzeba zatrzymać i zgłosić.

W warstwie IT i Security warto sprawdzić polityki uruchamiania skryptów, kontrolę aplikacji, uprawnienia lokalne, monitorowanie procesów potomnych przeglądarki, telemetrię EDR, logi PowerShella i reakcję na nietypowe połączenia wychodzące. W wielu firmach dobrym ćwiczeniem jest też przegląd, kto realnie potrzebuje terminala, narzędzi administracyjnych i możliwości uruchamiania skryptów na stacji roboczej.

W warstwie procesowej kluczowe jest szybkie zgłaszanie. Pracownik nie powinien bać się powiedzieć: „wkleiłem polecenie, bo myślałem, że to weryfikacja”. Taka informacja skraca czas reakcji i pozwala ograniczyć skutki. W kontrolowanym scenariuszu testu phishingowego można sprawdzić nie tylko kliknięcie, ale też moment zatrzymania, zgłoszenie i jakość odpowiedzi zespołu.

Jak ćwiczyć ClickFix bez uczenia ataku

Scenariusz edukacyjny nie musi pokazywać prawdziwych komend ani pełnego łańcucha technicznego. Wystarczy bezpieczna symulacja, która oddaje moment decyzji. Użytkownik widzi fałszywą weryfikację, instrukcję wyjścia poza przeglądarkę i prośbę o wykonanie kroku systemowego. Celem nie jest uruchomienie czegokolwiek, tylko sprawdzenie, czy użytkownik zatrzyma proces i zgłosi zdarzenie.

Dobre ćwiczenie powinno mierzyć kilka rzeczy: wejście w link, reakcję na fałszywy ekran, próbę wykonania instrukcji, zgłoszenie, czas reakcji oraz zachowanie po otrzymaniu informacji zwrotnej. Dzięki temu firma widzi, czy problemem jest pierwszy klik, zaufanie do CAPTCHA, brak kanału zgłoszeń, presja czasu, czy brak jasnej zasady dotyczącej komend.

To podejście pasuje do szerszego programu odporności użytkowników. ClickFix jest jednym z przykładów, w których phishing przestaje być wyłącznie wiadomością. Staje się całym procesem: link, ekran, instrukcja, decyzja, reakcja organizacji.

Podsumowanie: granica, której nie warto przekraczać

ClickFix działa, bo łączy zaufanie do znanych ekranów z krótką instrukcją techniczną. Fałszywa CAPTCHA ma wyglądać jak zabezpieczenie, ale jej rola jest inna: ma przekonać użytkownika, że wykonanie polecenia jest normalnym krokiem weryfikacji.

Dlatego praktyczna zasada jest konkretna: CAPTCHA nie powinna wymagać uruchamiania komend. Jeżeli strona prosi o Windows + R, PowerShell, Terminal, wiersz polecenia albo wklejenie tekstu ze schowka, proces należy zatrzymać i zgłosić.

Jeżeli chcesz sprawdzić, czy pracownicy rozpoznają taki moment decyzji i wiedzą, jak go zgłosić, można omówić bezpieczny scenariusz ćwiczenia przez kontakt z PHISHLY. Dobrze zaprojektowane ćwiczenie nie uczy ataku. Uczy zatrzymania procesu, zanim fałszywa weryfikacja stanie się incydentem.