Atacurile de tip ClickFix, cunoscute și sub denumiri precum FileFix sau fake CAPTCHA, devin o amenințare tot mai serioasă pentru securitatea cibernetică globală.
Practic, ele implică interacțiunea utilizatorului cu scripturi malițioase din browser, fiind concepute să pară acțiuni obișnuite, cum ar fi, spre exemplu, rezolvarea unui CAPTCHA sau „corectarea” unei erori pe o pagină web.
În realitate, ele determină utilizatorul să copieze și să ruleze cod malițios pe propriul dispozitiv, ceea ce deschide calea către compromiterea sistemului.
Specialiștii în securitate atrag atenția că grupuri de criminalitate cibernetică, precum Interlock, dar și actori statali sponsorizați, folosesc frecvent aceste tehnici.
Printre victimele confirmate se numără organizații din domeniul sănătății și administrației publice din SUA, precum Kettering Health, DaVita sau Texas Tech University Health Sciences Center, scrie The Hacker News.
De ce sunt atacurile ClickFix atât de eficiente
Unul dintre motivele principale este lipsa de conștientizare a utilizatorilor. Campaniile de educare cibernetică s-au concentrat în ultimul deceniu pe evitarea linkurilor suspecte din emailuri și a fișierelor periculoase, nu pe riscurile generate de rularea manuală a codurilor copiate în sistem.
În cazul ClickFix, codul malițios este adesea introdus automat în clipboard prin JavaScript, fără ca utilizatorul să observe.
Un alt factor îl reprezintă modul de distribuție: atacatorii exploatează publicitatea online și manipularea rezultatelor din motoarele de căutare (SEO poisoning) pentru a plasa pagini capcană cât mai sus în Google.
Astfel, utilizatorii ajung pe site-uri aparent legitime, dar care ascund scripturi periculoase. Spre deosebire de emailurile de tip phishing, aceste pagini nu pot fi raportate ușor printr-un mecanism dedicat de securitate, ceea ce le permite să circule liber pe internet.
De ce instrumentele de securitate nu le pot opri eficient
Atacurile ClickFix scapă adesea de filtrele tradiționale, deoarece nu implică descărcarea unui fișier și nu trimit alerte evidente către sistemele de monitorizare.
Paginile malițioase folosesc domenii care se schimbă constant, tehnici de ofuscare a codului și măsuri anti-bot care împiedică analiza automată.
În plus, acțiunea are loc în interiorul browserului, într-un mediu izolat (sandbox), unde soluțiile de securitate au vizibilitate limitată.
Chiar și sistemele EDR (Endpoint Detection and Response), ultima linie de apărare, pot rata detectarea, deoarece rularea codului este declanșată manual de utilizator, fără un context evident de atac. În lipsa unei semnături cunoscute sau a unei încălcări clare de politică, procesul malițios poate trece neobservat.
Astfel, organizațiile ajung să depindă de o singură barieră de protecție, vulnerabilă la erori sau excepții de detecție.
Pentru a contracara acest tip de amenințări, companii precum Push Security propun soluții de prevenție direct în browser, capabile să identifice tentativele suspecte de copiere și lipire a codului malițios.
Spre deosebire de politicile restrictive care blochează complet funcțiile, aceste soluții inteligente reușesc să ofere protecție fără a afecta productivitatea utilizatorilor.
Atacurile ClickFix demonstrează că peisajul amenințărilor digitale evoluează dincolo de modelele tradiționale de phishing, obligând organizațiile să adopte o protecție adaptată realităților moderne ale navigării web.