Sikkerhetsblogg
Clickfix – angrepsteknikken som har fått mye oppmerksomhet
Denne angrepsteknikken har fått mye oppmerksomhet, men vi ble likevel overrasket da vi selv begynte å observere den i vår overvåkning.
Det er tydelig at mange ansatte trenger mer sikkerhetstrening!
Hvordan ClickFix-angrepet fungerer
Angrepet utnytter Run-boksen i Windows for å lure brukeren til å kjøre en ondsinnet kommando. Typisk skjer dette ved at brukeren forsøker å åpne en nettside eller et dokument, ofte sendt via phishing-epost. I stedet for innholdet de forventer, får de en feilmelding som sier «Something went wrong…», sammen med en knapp merket «Fix It» eller liknende. Når de klikker, blir de instruert til å trykke Win+R, deretter Ctrl+V, og til slutt Enter.
Feilmeldingen kan variere. Noen angripere etterligner reCAPTCHA, med teksten «I am not a robot», men målet er det samme: å få brukeren til å kjøre en kommando uten å forstå hva som skjer. Klikket på knappen kopierer kommandoen til utklippstavlen, Win+R åpner Run-boksen, Ctrl+V limer inn kommandoen, og Enter kjører den.
Kommandoen som limes inn ender ofte med «# I am not a robot: CAPTCHA ID: 442323» eller liknende. Formålet er at dette blir teksten som er synlig for brukeren i Run-boksens lille tekstfelt etter innliming. Selve kommandoen ser de ikke.
Teknisk beskyttelse i våre systemer
For å begrense slike angrep blokkerer vi kjøring av mshta og en rekke andre LOLBAS (Living Off The Land Binaries, Scripts and Libraries) i våre EPP-profilmaler, siden disse ofte benyttes i angrep.
Likevel handler dette i stor grad om menneskelig adferd. Angrepet fungerer fordi ansatte følger instruksjoner blindt, uten å stille spørsmål ved hvorfor de må utføre bestemte handlinger. Det utnytter tilliten til kjente grensesnitt og vanen med å følge trinnvise instruksjoner.
Kritisk tenkning som viktig forsvar
For å redusere risikoen må ansatte trenes i å være kritiske til uventede feilmeldinger, spesielt de som ber dem kopiere og kjøre kommandoer. De ansatte må trenes opp til å gjenkjenne manipulasjon og tenke kritisk i møte med digitale trusler.
Er sikkerheten oppdatert?
Vi hjelper deg med å evaluere dagens tiltak og implementere løsninger som stopper angrep som ClickFix – før de skjer.
Les mer om vår Managed Endpoint Protection-tjeneste