Warnung vor Angriffen mit gefälschten Captchas (ClickFix)

Aktuell werden vermehrt sogenannte ClickFix-Angriffe (auch bekannt als Fake-Captcha-Angriffe) gegen Angehörige der Universität Münster beobachtet. Bei dieser Angriffsmethode werden Nutzende auf manipulierte Webseiten gelockt, die eine harmlos wirkende Captcha-Abfrage, eine Fehlermeldung oder eine Verifizierungsaufforderung anzeigen (z. B. "Ich bin kein Roboter", "Bitte verifizieren Sie, dass Sie ein Mensch sind" oder "Zur Behebung des Problems folgen Sie bitte diesen Schritten"). Der Einstieg erfolgt häufig über manipulierte Suchergebnisse, kompromittierte Webseiten, Phishing E-Mails oder Werbeanzeigen. Anstatt einer echten Captcha-Prüfung werden die Nutzenden jedoch angewiesen, eine gefährlich Aktion oder Tastenkombination auszuführen, etwa:

  • Drücken von Windows-Taste + R (Ausführen-Dialog öffnen)
  • Drücken von Windows-Taste + X gefolgt von der Taste "i" (Öffnen des Windows-Terminals)
  • Drücken von Strg + V (Einfügen eines zuvor unbemerkt in die Zwischenablage kopierten Befehls)
  • Kopieren eines "Verifizierungscodes" in ein neues Fenster 
  • Kopieren einer Browser URL als Verifizierung
Wer diese Schritte ausführt, startet unbemerkt Schadsoftware auf dem eigenen Gerät oder gewährt den Angreifenden unbemerkt Zugriff auf Dienste . Die Angreifenden nutzen dies, um Zugangsdaten, Sitzungs-Cookies oder weitere sensible Informationen abzugreifen oder das System dauerhaft zu kompromittieren. Oft werden erbeutete Zugangsdaten dann für weitere Angriffe genutzt. Unter macOS und Linux existieren vergleichbare Varianten, die zur Ausführung von Befehlen im Terminal auffordern.

Beispiel:
Fake Captcha / ClickFix Beispiel
Wie kann man sich schützen?
  • Führen Sie niemals unbekannte Tastenkombinationen oder Befehle aus, zu denen eine Webseite Sie auffordert
  • Fügen Sie keine unbekannten Befehle in den Ausführen-Dialog (Win+R), die Windows PowerShell oder das Terminal ein
  • Echte Captcha-Abfragen verlangen niemals das Kopieren und Einfügen von Befehlen oder das Drücken von Systemtastenkombinationen
  • Schließen Sie verdächtige Webseiten umgehend und prüfen Sie den Inhalt der Zwischenablage, bevor Sie etwas einfügen
  • Seien Sie misstrauisch bei unerwarteten Fehlermeldungen, Verifizierungsaufforderungen oder „Reparaturanleitungen" auf Webseiten
Was tun im Verdachtsfall?
Wenn Sie den Verdacht haben, einen solchen Befehl ausgeführt zu haben:
  • Trennen Sie das betroffene Gerät umgehend vom Netzwerk
  • Wenden Sie sich umgehend an Ihre zuständige IVV oder an das CERT (Computer Emergency Response Team)
  • Ändern Sie alle auf dem Endgerät gespeicherten oder verwendeten Zugangsdaten von einem anderen, vertrauenswürdigen Gerät aus