ClickFix: a felhasználó, mint támadási eszköz - a Booking.com kampány
Egy újabb interaktív social engineering technika, amely már nemcsak becsapja a felhasználót, hanem közvetlenül rá is bízza a támadás végrehajtását.
A social engineering, vagyis az emberi viselkedés manipulálására építő támadási technikák a kezdetek óta jelen vannak a kiberfenyegetések eszköztárában. Az elmúlt időszakban azonban egyre gyakoribb, hogy a kiberbűnözők már nem elégszenek meg az egyszerű adathalász e-mailekkel és kattintásokkal, hanem elmozdultak az interaktívabb, a felhasználót még aktívabb cselekvésre rávevő módszerek irányába.
A ClickFix nevű technika ennek a támadási evolúciónak egyik markáns példája: felhasználót a támadók aktív résztvevővé teszik a támadásban azzal, hogy ráveszik, saját maga hajtsa végre azokat a parancsokat, amelyek végül kártékony programok letöltéséhez vezetnek.
2024 decemberében a Microsoft Threat Intelligence egy kiterjedt phishing kampányra figyelt fel, amely a Booking.com nevében küldött hamis foglalási vagy ügyfélszolgálati üzenetekkel célzott meg vendéglátóipari szervezeteket világszerte.1 A kampány célja a megszokott forgatókönyvet követte: a támadók arra törekedtek, hogy a címzettek egy olyan rosszindulatú programot töltsenek le, amely hitelesítési adatokat (például bejelentkezési neveket és jelszavakat), vállalati hozzáféréseket és pénzügyi információkat képes ellopni.
A kampány különlegességét az adja, hogy a támadók a viszonylag új ClickFix technikát alkalmazták: a felhasználót egy hamisított oldal segítségével lépésről lépésre vezetik rá arra, hogy egy vágólapra másolt parancsot saját maga futtasson le, ezzel elindítva a fertőzési láncot.
Bár a Booking.com-ot megszemélyesítő kampány jelenleg az egyik legismertebb példa, közel sem ez az egyetlen eset, amikor a ClickFix technikát alkalmazták. Egy másik, szinte azonos időben zajló incidens során például több mint 100 amerikai autókereskedő weboldalát kompromittálták és ezekbe ClickFix-alapú támadókódokat ágyaztak, ami jól mutatja, hogy a módszer gyorsan terjed, és nem kötődik kizárólag egyetlen iparághoz vagy kampányhoz.
Ez a cikk bemutatja a „Booking.com” kampány működését, elemzi a ClickFix technika lépéseit, valamint szemlélteti, milyen kihívásokat jelent ez a módszer a felhasználói tudatosság és a vállalati biztonsági rendszerek számára. Emellett arra is választ keresünk, hogyan védekezhetünk az ilyen típusú támadásokkal szemben, mielőtt a következő „hibaelhárító parancs” már a mi rendszerünkbe csempészi be a támadót.
A Booking.com phishing kampány
A Microsoft Threat Intelligence jelentése szerint 2024 decemberében indult az a kiterjedt phishing kampányt, amelyben a Booking.com online utazási szolgáltató nevében küldtek hamis üzeneteket, kifejezetten vendéglátóipari szervezetek munkatársainak célozva. Az időzítés nem volt véletlen: az év végi ünnepi szezon az egyik legforgalmasabb időszak az iparágban, amikor a gyors ügyintézés és a megnövekedett digitális forgalom ideális környezetet teremt a megtévesztésre.
A támadók Booking.com nevében küldtek hamis e-maileket, amelyek foglalással kapcsolatos kérdéseket, módosítási kéréseket vagy állítólagos ügyfélpanaszokat tartalmaztak. A levelek látszólag legitim üzleti kommunikációnak tűntek – hivatalosnak ható aláírásokkal, domainhez hasonló címekkel, és meggyőző szövegezéssel. A célpontok azok a dolgozók voltak, akik nagy valószínűséggel valóban kapcsolatban állnak a Booking.com rendszerével, például hotelek, apartmanszolgáltatók vagy utazásszervező partnerek ügyintézői.
A kampány során érkező e-mail közvetlen linket, vagy egy PDF csatolmányt tartalmazott. Mindkettő azt sugallta, hogy a címzett a Booking.com weboldalára fog jutni – például foglalással kapcsolatos információkhoz. A valóságban azonban egy hamisított weboldal nyílt meg, amely egy ál-CAPTCHA elemmel álcázta magát, azt a benyomást keltve, hogy az oldal további hitelesítést kér – ezzel mesterségesen növelve a felhasználó bizalmát.
Ez az ál-CAPTCHA indította el a támadás kritikus szakaszát: itt lépett működésbe a ClickFix technika, amely a felhasználó interakciójára épít: a felugró, ellenőrzésre szolgáló (pontosabban azt imitiáló) CAPTCHA ablak arra utasítja a látogatót, hogy nyissa meg a Windows „Futtatás” ablakát , majd illesszen be egy parancsot, amelyet a rendszer automatikusan a vágólapra másolt és futtassa le. Ez a parancs többnyire a
mshta\.exe
Windows-komponenst hívja meg, amellyel egy távoli szerveren tárolt HTML alkalmazást futtat le – ez a támadók által előkészített kártékony kódot tölti le és hajtja végre.
A támadók jellemzően ún. általánosan elérhető, „commodity malware”-t2 használtak, amelyek közé tartozik például az XWorm, a Lumma Stealer, a VenomRAT, az AsyncRAT, a Danabot vagy a NetSupport RAT. Ezek a kártevők képesek különféle hitelesítő adatok, sütik, pénzügyi információk és billentyűleütések begyűjtésére, valamint távoli hozzáférés létrehozására a megfertőzött rendszerhez.
A kampány mögött a Microsoft által Storm-1865-nek elnevezett, korábban e-kereskedelmi és szállodaipari célpontok ellen is aktív fenyegetési csoport áll.
A ClickFix technika hozzáadása a Storm-1865 által használt taktikákhoz azt mutatja, hogy a csoport tudatosan fejleszti módszertanát annak érdekében, hogy megkerülje a klasszikus biztonsági megoldásokat – és közben emberi döntéseken keresztül jusson be védett rendszerekbe.
A kampány célja több szinten is jelentős:
Elsődleges cél a hitelesítési adatok megszerzése (e-mail, vállalati portál, VPN, stb.).
Másodlagos cél a hozzáférések felhasználása pénzügyi visszaélésekhez, például jogosulatlan foglalásokhoz vagy fizetési adatok lopásához.
Potenciális harmadik szint a hálózati oldalirányú mozgás (lateral movement) előkészítése, különösen abban az esetben, ha a célpont nagyobb szállodalánc vagy regionális rendszer része.
A támadás nem korlátozódott egyetlen régióra. Érintett országokat találtak Észak-Amerikában, Óceániában, Dél- és Délkelet-Ázsiában, valamint Európa minden régiójában, ami nemcsak a kampány kiterjedtségét, hanem azt is jelzi, hogy a támadók globálisan koordinált és célzott módon dolgoznak.
A kampány nemcsak kiterjedtsége, hanem technikai összetettsége miatt is figyelmet érdemel és jól példázza, hogyan ötvözhető egy hagyományos márkanév visszaélése egy modern, interaktív social engineering technikával.
Nézzük meg külön is a ClickFix technika működését: hogyan válik a felhasználó saját rendszere kompromittálásának eszközévé.
A ClickFix támadási technika
A ClickFix nem egy önálló kártevő vagy egy újfajta sérülékenység – hanem egy kifinomult social engineering módszer, amely a felhasználó természetes problémamegoldó reflexeire épít.
A technika különösen veszélyes, mert olyan helyzetet teremt, ahol a felhasználó maga indítja el a támadást – jóhiszeműen, “hitelesítés” céljából vagy a rendszer „javítása” érdekében.
A támadás központi eleme egy interaktív phishing oldal, amely hiteles megjelenésével (pl. Booking.com dizájn, ügyfélszolgálati nyelvezet) elnyeri az áldozat bizalmát. Az oldal hamis hibajelenséget szimulál – például: „A kért adat nem tölthető be. Javasolt a kézi hibaelhárítás.” Vagy a betöltés megerősítéséhez ál-CAPTCHA ablak ugrik fel, ahogy az történt a Booking.com esetében is.
Ezután lép működésbe a ClickFix technika, és a a felhasználót arra kérik, hogy:
Nyomja meg a
Windows + R
billentyűkombinációt, amivel megnyílik a Run ablak.Illesszen be egy parancsot, amelyet a weboldal korábban automatikusan a vágólapra másolt.
Futtassa le a parancsot – ezzel a felhasználó saját kezűleg, maga indítja el a rosszindulatú kódot.
A beillesztett parancs rendszerint egy PowerShell vagy CMD utasítás, amely kapcsolatot létesít egy távoli szerverrel, majd letölt és futtat egy vagy több malware-t. Ezek jellemzően credential stealer típusú kártevők, amelyek a következőket célozzák:
böngészőben tárolt jelszavak és sütik;
e-mail fiók- és VPN-hitelesítő adatok;
kriptotárcák, pénzügyi alkalmazások elérési információi.
A technika hatékonyságát több tényező is fokozza:
A felhasználó aktív részvétele miatt a támadás megkerüli az automatizált e-mail és link alapú szűréseket.
A parancsot nem letöltés vagy scriptként futtatja a böngésző – hanem a rendszerbe beépített, legitim eszközzel (Run + PowerShell).
A clipboard-alapú parancsbeillesztés ellen nehezen lehet technikailag védekezni anélkül, hogy a felhasználói élményt jelentősen befolyásolnánk.
Fontos hangsúlyozni: a támadóknak nem kell feltörniük a célpont rendszerét – elég, ha a felhasználót ráveszik, hogy saját maga hajtsa végre a támadást.
A korábban már bemutatott „booking.com” kampány jól mutatja, milyen kiterjedt támadásokban használják a ClickFix technikát.
Ugyanakkor a technika növekvő népszerűségét mutatja egy szintén nemrégiben feltárt másik kampány, amely ugyanerre a technikára épült, csak épp egy másik szektorban, az autókereskedelembn. Nézzük meg, ott hogyan alkalmazták a ClickFix technikát.
Egy másik kampány: ClickFix támadás autókereskedői weboldalak ellen
Miközben a vendéglátóipart célzó Booking.com phishing kampány továbbra is aktív, a ClickFix technika már más iparágakban is felbukkant. 2025 márciusában a Dark Reading számolt be egy olyan esetről, amely során több mint 100 autókereskedő weboldala kompromittálódott az Egyesült Államokban, szintén ClickFix-alapú támadókód beágyazásával.3
Ebben az esetben a támadás egy beszállítói láncon keresztül valósult meg. A kompromittált szolgáltató, az LES Automotive, olyan keretrendszert biztosított, amelyet számos autókereskedés weboldala használt. A támadók ennek az infrastruktúrának a sebezhetőségét kihasználva módosították az oldalak forráskódját, és JavaScript-alapú ClickFix támadókódot helyeztek el bennük. A kód hasonló elven működött, mint a Booking.com kampányban: hamis hibaüzeneteket jelenített meg, és rávezette a látogatókat, hogy futtassanak le vágólapra másolt parancsokat.
A célpont ebben az esetben nem a vendéglátóipar, hanem az autóipar volt – de a támadási technika és a végcél ugyanaz maradt: credential stealer kártevők telepítése, amelyek lehetővé tették a támadók számára, hogy belső rendszerekhez, fiókokhoz és pénzügyi adatokhoz férjenek hozzá.
Ez az eset rávilágít a ClickFix egyik legaggasztóbb aspektusára: a technika nem kampányhoz, hanem módszertanhoz kötött. A támadók ott vetik be, ahol a pszichológiai nyomásgyakorlás és a technikai környezet megfelelő – legyen szó egy hotel recepciósáról, vagy egy autókereskedés weboldalának látogatójáról.
A ClickFix terjedése azt mutatja, hogy a támadók figyelmét már nemcsak a célpont szektor értéke, hanem a felhasználói viselkedés befolyásolhatósága határozza meg.
Vizsgáljuk meg, miért különösen veszélyes ez a módszer és milyen kihívásokat támaszt a védekezéssel szemben.
Miért különösen veszélyes a ClickFix technika?
A ClickFix nemcsak egy technikai trükk, hanem egy paradigmaváltás is a social engineering módszerek világában. A hagyományos phishing technikák során a támadó passzív szerepbe helyezi a felhasználót: kattintson egy linkre, töltsön le egy csatolmányt. A ClickFix azonban aktív cselekvésre késztet: a felhasználónak magának kell végrehajtania egy parancsot, amelyet nem is biztos, hogy teljesen ért.
Ez az interaktivitás több szempontból is komoly kihívást jelent:
Megkerüli a hagyományos biztonsági megoldásokat
A legtöbb biztonsági termék – legyen szó e-mail szűrőről, linkelemzőről, sandboxról – olyan rosszindulatú tartalmakat keres, amelyek automatikusan kerülnek a rendszerbe. A ClickFix esetében azonban a parancsot nem az e-mail, hanem a felhasználó juttatja be a rendszerbe – egyenesen a futtatás szintjén. Ez jelentősen csökkenti az automatizált észlelés esélyét.
A parancs láthatatlanul „jön”
A támadók nem arra kérik a felhasználót, hogy gépeljen be valamit – hanem automatikusan a vágólapra másolják a parancsot és csak beillesztést kérnek. Ez csökkenti a hibázás valószínűségét, miközben növeli az esélyét annak, hogy az áldozat nem veszi észre, mit hajt végre.
A legitim műveletek álcája mögé bújik
A Windows + R billentyűkombináció, a PowerShell futtatása, vagy épp a CMD parancsablak használata mind részei lehetnek egy normál hibaelhárítási folyamatnak – különösen IT-tudatosabb felhasználók körében. A támadók ezt az ismerősséget használják ki: nem tűnik gyanúsnak, mert „ilyet már csináltam korábban is”.
A pszichológiai nyomás jól időzített
A támadások gyakran időzítettek: utazási csúcsszezon, munkaidő vége, vagy egy sürgős ügyfélprobléma. Ilyenkor a felhasználók kevésbé figyelnek, inkább gyors megoldást keresnek – és pontosan ezt kínálja nekik a támadó, egy „gyors parancs” formájában.
Skálázható és szektorfüggetlen
A ClickFix technika nem igényel célzott malware-fejlesztést. Ugyanaz a támadási lánc használható szinte bármely iparágban – csak a hibaüzenet szövegét és a kampány tematikáját kell testre szabni. Ez különösen alkalmassá teszi tömeges, kampányszerű visszaélésekre.
A ClickFix tehát nem csupán technológiai, hanem viselkedési szempontból is új kihívást jelent: nem a rendszer automatizmusait, hanem az emberi döntéshozatalt célozza meg – ezt pedig nehezebb szűrni, monitorozni és megelőzni.
Nézzük meg milyen stratégiák, módszerek alkalmazásával védhetők ki a leghatékonyabban az ilyen jellegű támadások.
Védekezési módszerek
A ClickFix technika elleni védekezés csak akkor lehet hatékony, ha a védelem nemcsak technológiai, hanem emberi szinten is megvalósul, azon belül is oly módon, hogy az egyéni felhasználók és a vállalati rendszerek biztonságáért felelős szakemberek tudatosan, egymást kiegészítve lépnek fel.
Az alábbiakban külön az egyéni felhasználókra és külön a biztonsági szakemberekre szabottan foglaljuk össze a ClickFix és a hasonló elven működő támadási technikák elleni hatékony védekezéshez javasolt biztonsági jógyakorlatokat, védelmi lehetőségeket.
Egyéni felhasználók számára ajánlott gyakorlatok
Ismeretlen parancsok futtatásának mellőzése: Amennyiben egy weboldal vagy elektronikus üzenet arra utasítja a felhasználót, hogy a „Futtatás” (Run) ablakon keresztül parancsot hajtson végre, annak tartalma és forrása minden esetben ellenőrzendő. PowerShell- vagy CMD-parancsok futtatása kizárólag hiteles és ismert forrásból történjen.
Social engineering technikák felismerése: A támadók gyakran hivatkoznak technikai hibára, sürgős problémára vagy ügyféligényre. Az ilyen kommunikációs formák – különösen, ha parancsvégrehajtást igényelnek – mindig gyanúra adhatnak okot.
A vágólap tartalmának ellenőrzése: Fontos tudatosítani, hogy egy weboldal képes lehet tartalmat másolni a vágólapra. A parancs beillesztése előtt ajánlott annak tartalmát ellenőrizni, különösen, ha az rendszerszintű műveletet indít.
Proaktív jelzés és konzultáció: Bármilyen technikai utasítás kapcsán, amelynek hitelessége megkérdőjelezhető, javasolt IT-támogatáshoz vagy biztonsági szakértőhöz fordulni. Egy időben feltett kérdés számos incidenst megelőzhet.
Biztonsági szakemberek és szervezetek számára ajánlott intézkedések
Célzott tudatosságnövelő programok: A hagyományos phishing tréningeken túlmenően olyan oktatási modulokat is célszerű alkalmazni, amelyek konkrétan a ClickFix típusú fenyegetések felismerésére és kezelésére készítenek fel.
Viselkedésalapú monitoring: A Run ablakon keresztül indított PowerShell-parancsok, valamint a vágólap-eredetű parancsok észlelése és naplózása segíti a gyors beavatkozást. Az ilyen típusú tevékenységekre célszerű automatizált riasztási szabályokat létrehozni.
Technikai védelem többrétegű megközelítéssel: Az endpoint protection rendszerek (EDR) képesek lehetnek azonosítani gyanús szkriptfuttatásokat, vágólap-manipulációt és hálózati anomáliákat. A szkriptblokkolási szabályok és aláíratlan PowerShell-futtatások tiltása tovább szűkítheti a támadási felületet.
Beszállítói lánc biztonsága: A ClickFix technika webes felületeken is megjelenhet, így indokolt a használt külső szolgáltatók – például CMS-bővítmények, tárhelyek – rendszeres biztonsági auditja. A beszállítókkal kötött szerződésekben érdemes minimális biztonsági elvárásokat és frissítési kötelezettségeket rögzíteni.
Incidenskezelési protokollok kialakítása: Előre definiált eljárásrend szükséges arra az esetre, ha egy felhasználó gyanús parancsot hajt végre. Fontos a gyors elkülönítés, a naplók és hálózati forgalom elemzése, valamint a potenciális további fertőzések feltérképezése.
A ClickFix elleni védekezés kulcsa a technikai és emberi tényezők összehangolásában rejlik. A felhasználói tudatosság, a proaktív monitoring és az incidensre való felkészültség együttesen teremthet hatékony védelmi rendszert.
Záró gondolatok
A ClickFix technika megjelenése jól mutatja, hogy a social engineering típusú támadások új szakaszba léptek: a felhasználók nem csupán célpontjai, hanem manipuláció révén aktív végrehajtói is lehetnek egy kompromittálási láncnak.
A támadás során nem egy automatizált kártevő hajtja végre a kritikus műveleteket, hanem maga az áldozat – sokszor jóhiszeműen, a „hibaelhárítás” szándékával.
A Booking.com nevében indított kampány és az autókereskedői weboldalak kompromittálása egyaránt azt jelzi, hogy a támadók nem csupán új szektorokat céloznak meg, hanem egyre kifinomultabb pszichológiai eszköztárat is alkalmaznak.
A felhasználói rutinokra, reflexekre és problémamegoldási ösztönökre építő módszerek célja nem más, mint a védelem leggyengébb láncszemének – az embernek – a kijátszása.
A védekezés nem szorítkozhat kizárólag technikai megoldásokra. A szervezeteknek, de az egyéni felhasználóknak is meg kell érteniük, hogy a modern támadások sikere gyakran azon múlik, mennyire ismerjük fel a manipulációt és képesek vagyunk-e tudatosan reagálni rá.
A ClickFix tanulsága világos: a támadási felület már nem kizárólag szoftveres vagy hálózati kérdés.
A döntéshozatal, a gyors reagálásra épülő viselkedésminták és az emberi együttműködés is olyan vektorokká váltak, amelyek védelmét nem lehet mellőzni a biztonsági stratégiákból.
Az ilyen támadásokkal szembeni hatékony védelem tudásból, gyakorlatból és éberségből áll, amiket nemcsak felépíteni kell, hanem időről időre frissíteni, próbára tenni és beépíteni a szervezeti kultúrába is.
https://www.microsoft.com/en-us/security/blog/2025/03/13/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware/
A commodity malware olyan általánosan elérhető, tömegesen használt kártevő, amelyet a támadók kész formában használnak, nem saját fejlesztésű vagy célzott eszközként alkalmaznak.
https://www.darkreading.com/cyberattacks-data-breaches/compromised-car-dealership-websites-clickfix-breach
Azért ide ha nem is éppen idiótának, de legalábbis második fajú analfabétának kell lenni, hogy ne essen le azonnal a kinyitott terminál ablak 😁 és egy cmd utasítás 😁😁. És ezek az emberek nem most vásárolnak először webshopban, hanem egy relatív komplex adminisztrációt vezetnek számítógépen…