Ako ClickFix dobýva informačný systém? Často ho otvárame sami

Během druhé války za skotskou nezávislost (1332 až 1357) drželi hrad Edinburgh, tak jak se přelévala válečná „štěstěna“, Angličané. Hrad se vypíná na skalnatém ostrohu nad samotným městem Edinburgh, a i dnes vypadá impozantně a téměř nedobytně. Ještě silněji musel jisto jistě působit i na vojáky v roce 1341, kdy se jej do svého držení opět snažili získat Skotové. Prorazit nebo zdolat hradby bylo pro tehdejší technologie asi skutečně nemožné, a tak se skotský vojevůdce William Douglas, Lord of Liddesdale rozhodl pro lest, jež umožní rychlé a překvapivé ovládnutí hradu. Část jeho vojáků se převlékla za obchodníky, kteří se se svým povozem vydali k bráně hradu. Pod záminkou doručení zásob se vojáci dostali do prostoru brány, kterou zablokovali a ovládli, čehož následně využil zbytek jeho bojovníků k průniku do hradu. Hrad padl 14. března 1341.

A tak se opět objevují léčky, které nás mají oklamat, abychom vpustili útočníky dovnitř. Velmi populární je dnes technika/léčka, nazývaná ClickFix. Oběť se obvykle setká s falešnou hláškou na kompromitovaném či podvodném webu (např. chyba ověření, nutná aktualizace, selhání CAPTCHA), která ji vyzve k provedení konkrétního kroku – typicky otevření dialogu Spustit (Win+R) a vložení předpřipraveného příkazu, který má chybu opravit. Tento příkaz bývá PowerShell nebo jiný skript, který stáhne a spustí škodlivý kód (např. infostealer či loader). Útok nevyužívá technickou zranitelnost systému, ale důvěru a rutinní chování uživatele, čímž dokáže obejít část bezpečnostních kontrol, protože škodlivá akce je iniciována legitimním uživatelským vstupem.

Co můžeme dělat je upozorňovat uživatele na tuto techniku a všeobecně je vzdělávat v oblasti kybernetické bezpečnosti. V případě ClickFix je technická bezpečnost krátká proto, že útok nevyužívá zranitelnost systému, ale legitimní chování uživatele: bezpečnostní nástroje obvykle důvěřují akcím provedeným přímo uživatelem v jeho kontextu, protože z pohledu systému jde o běžnou operaci. Pokud uživatel pod vlivem falešné výzvy „k opravě chyby“ sám vloží a spustí škodlivý příkaz, obchází tím část ochranných mechanismů. Proto je u ClickFix klíčovým bezpečnostním prvkem člověk – jeho schopnost rozpoznat manipulaci a odmítnout provést neobvyklý krok – protože technologie zde chrání jen do okamžiku, kdy jí uživatel svou vlastní akcí otevře dveře.

Pokud chcete poradit s osvětou, s budováním bezpečnostního povědomí, poradit ohledně bezpečnosti, zkonzultovat nějaký problém, navrhnout řešení nebo vyškolit personál, klidně se obraťte na Aricomu. Rádi vám poradíme a jak se říká, za zeptání nic nedáte :-)