A social engineering, vagyis az emberi viselkedés manipulálására építő támadási technikák a kezdetek óta jelen vannak a kiberfenyegetések eszköztárában. Az elmúlt időszakban azonban egyre gyakoribb, hogy a kiberbűnözők már nem elégszenek meg az egyszerű adathalász e-mailekkel és kattintásokkal, hanem elmozdultak az interaktívabb, a felhasználót még aktívabb cselekvésre rávevő módszerek irányába.

A ClickFix nevű technika ennek a támadási evolúciónak egyik markáns példája: felhasználót a támadók aktív résztvevővé teszik a támadásban azzal, hogy ráveszik, saját maga hajtsa végre azokat a parancsokat, amelyek végül kártékony programok letöltéséhez vezetnek.

2024 decemberében a Microsoft Threat Intelligence egy kiterjedt phishing kampányra figyelt fel, amely a Booking.com nevében küldött hamis foglalási vagy ügyfélszolgálati üzenetekkel célzott meg vendéglátóipari szervezeteket világszerte.1 A kampány célja a megszokott forgatókönyvet követte: a támadók arra törekedtek, hogy a címzettek egy olyan rosszindulatú programot töltsenek le, amely hitelesítési adatokat (például bejelentkezési neveket és jelszavakat), vállalati hozzáféréseket és pénzügyi információkat képes ellopni.

A kampány különlegességét az adja, hogy a támadók a viszonylag új ClickFix technikát alkalmazták: a felhasználót egy hamisított oldal segítségével lépésről lépésre vezetik rá arra, hogy egy vágólapra másolt parancsot saját maga futtasson le, ezzel elindítva a fertőzési láncot.

Bár a Booking.com-ot megszemélyesítő kampány jelenleg az egyik legismertebb példa, közel sem ez az egyetlen eset, amikor a ClickFix technikát alkalmazták. Egy másik, szinte azonos időben zajló incidens során például több mint 100 amerikai autókereskedő weboldalát kompromittálták és ezekbe ClickFix-alapú támadókódokat ágyaztak, ami jól mutatja, hogy a módszer gyorsan terjed, és nem kötődik kizárólag egyetlen iparághoz vagy kampányhoz.

Ez a cikk bemutatja a „Booking.com” kampány működését, elemzi a ClickFix technika lépéseit, valamint szemlélteti, milyen kihívásokat jelent ez a módszer a felhasználói tudatosság és a vállalati biztonsági rendszerek számára. Emellett arra is választ keresünk, hogyan védekezhetünk az ilyen típusú támadásokkal szemben, mielőtt a következő „hibaelhárító parancs” már a mi rendszerünkbe csempészi be a támadót.

A Booking.com phishing kampány

A Microsoft Threat Intelligence jelentése szerint 2024 decemberében indult az a kiterjedt phishing kampányt, amelyben a Booking.com online utazási szolgáltató nevében küldtek hamis üzeneteket, kifejezetten vendéglátóipari szervezetek munkatársainak célozva. Az időzítés nem volt véletlen: az év végi ünnepi szezon az egyik legforgalmasabb időszak az iparágban, amikor a gyors ügyintézés és a megnövekedett digitális forgalom ideális környezetet teremt a megtévesztésre.

A támadók Booking.com nevében küldtek hamis e-maileket, amelyek foglalással kapcsolatos kérdéseket, módosítási kéréseket vagy állítólagos ügyfélpanaszokat tartalmaztak. A levelek látszólag legitim üzleti kommunikációnak tűntek – hivatalosnak ható aláírásokkal, domainhez hasonló címekkel, és meggyőző szövegezéssel. A célpontok azok a dolgozók voltak, akik nagy valószínűséggel valóban kapcsolatban állnak a Booking.com rendszerével, például hotelek, apartmanszolgáltatók vagy utazásszervező partnerek ügyintézői.

A kampány során érkező e-mail közvetlen linket, vagy egy PDF csatolmányt tartalmazott. Mindkettő azt sugallta, hogy a címzett a Booking.com weboldalára fog jutni – például foglalással kapcsolatos információkhoz. A valóságban azonban egy hamisított weboldal nyílt meg, amely egy ál-CAPTCHA elemmel álcázta magát, azt a benyomást keltve, hogy az oldal további hitelesítést kér – ezzel mesterségesen növelve a felhasználó bizalmát.

Ez az ál-CAPTCHA indította el a támadás kritikus szakaszát: itt lépett működésbe a ClickFix technika, amely a felhasználó interakciójára épít: a felugró, ellenőrzésre szolgáló (pontosabban azt imitiáló) CAPTCHA ablak arra utasítja a látogatót, hogy nyissa meg a Windows „Futtatás” ablakát , majd illesszen be egy parancsot, amelyet a rendszer automatikusan a vágólapra másolt és futtassa le. Ez a parancs többnyire a mshta\.exe Windows-komponenst hívja meg, amellyel egy távoli szerveren tárolt HTML alkalmazást futtat le – ez a támadók által előkészített kártékony kódot tölti le és hajtja végre.

A támadók jellemzően ún. általánosan elérhető, „commodity malware”-t2 használtak, amelyek közé tartozik például az XWorm, a Lumma Stealer, a VenomRAT, az AsyncRAT, a Danabot vagy a NetSupport RAT. Ezek a kártevők képesek különféle hitelesítő adatok, sütik, pénzügyi információk és billentyűleütések begyűjtésére, valamint távoli hozzáférés létrehozására a megfertőzött rendszerhez.

A kampány mögött a Microsoft által Storm-1865-nek elnevezett, korábban e-kereskedelmi és szállodaipari célpontok ellen is aktív fenyegetési csoport áll.

A ClickFix technika hozzáadása a Storm-1865 által használt taktikákhoz azt mutatja, hogy a csoport tudatosan fejleszti módszertanát annak érdekében, hogy megkerülje a klasszikus biztonsági megoldásokat – és közben emberi döntéseken keresztül jusson be védett rendszerekbe.

A kampány célja több szinten is jelentős:

• Elsődleges cél a hitelesítési adatok megszerzése (e-mail, vállalati portál, VPN, stb.).

• Másodlagos cél a hozzáférések felhasználása pénzügyi visszaélésekhez, például jogosulatlan foglalásokhoz vagy fizetési adatok lopásához.

• Potenciális harmadik szint a hálózati oldalirányú mozgás (lateral movement) előkészítése, különösen abban az esetben, ha a célpont nagyobb szállodalánc vagy regionális rendszer része.

A támadás nem korlátozódott egyetlen régióra. Érintett országokat találtak Észak-Amerikában, Óceániában, Dél- és Délkelet-Ázsiában, valamint Európa minden régiójában, ami nemcsak a kampány kiterjedtségét, hanem azt is jelzi, hogy a támadók globálisan koordinált és célzott módon dolgoznak.

A kampány nemcsak kiterjedtsége, hanem technikai összetettsége miatt is figyelmet érdemel és jól példázza, hogyan ötvözhető egy hagyományos márkanév visszaélése egy modern, interaktív social engineering technikával.

Nézzük meg külön is a ClickFix technika működését: hogyan válik a felhasználó saját rendszere kompromittálásának eszközévé.

A ClickFix támadási technika

A ClickFix nem egy önálló kártevő vagy egy újfajta sérülékenység – hanem egy kifinomult social engineering módszer, amely a felhasználó természetes problémamegoldó reflexeire épít.

A technika különösen veszélyes, mert olyan helyzetet teremt, ahol a felhasználó maga indítja el a támadást – jóhiszeműen, “hitelesítés” céljából vagy a rendszer „javítása” érdekében.

A támadás központi eleme egy interaktív phishing oldal, amely hiteles megjelenésével (pl. Booking.com dizájn, ügyfélszolgálati nyelvezet) elnyeri az áldozat bizalmát. Az oldal hamis hibajelenséget szimulál – például: „A kért adat nem tölthető be. Javasolt a kézi hibaelhárítás.” Vagy a betöltés megerősítéséhez ál-CAPTCHA ablak ugrik fel, ahogy az történt a Booking.com esetében is.

Ezután lép működésbe a ClickFix technika, és a a felhasználót arra kérik, hogy:

1. Nyomja meg a Windows + R billentyűkombinációt, amivel megnyílik a Run ablak.

2. Illesszen be egy parancsot, amelyet a weboldal korábban automatikusan a vágólapra másolt.

3. Futtassa le a parancsot – ezzel a felhasználó saját kezűleg, maga indítja el a rosszindulatú kódot.

A beillesztett parancs rendszerint egy PowerShell vagy CMD utasítás, amely kapcsolatot létesít egy távoli szerverrel, majd letölt és futtat egy vagy több malware-t. Ezek jellemzően credential stealer típusú kártevők, amelyek a következőket célozzák:

• böngészőben tárolt jelszavak és sütik;

• e-mail fiók- és VPN-hitelesítő adatok;

• kriptotárcák, pénzügyi alkalmazások elérési információi.

A technika hatékonyságát több tényező is fokozza:

• A felhasználó aktív részvétele miatt a támadás megkerüli az automatizált e-mail és link alapú szűréseket.

• A parancsot nem letöltés vagy scriptként futtatja a böngésző – hanem a rendszerbe beépített, legitim eszközzel (Run + PowerShell).

• A clipboard-alapú parancsbeillesztés ellen nehezen lehet technikailag védekezni anélkül, hogy a felhasználói élményt jelentősen befolyásolnánk.

Fontos hangsúlyozni: a támadóknak nem kell feltörniük a célpont rendszerét – elég, ha a felhasználót ráveszik, hogy saját maga hajtsa végre a támadást.

A korábban már bemutatott „booking.com” kampány jól mutatja, milyen kiterjedt támadásokban használják a ClickFix technikát.

Ugyanakkor a technika növekvő népszerűségét mutatja egy szintén nemrégiben feltárt másik kampány, amely ugyanerre a technikára épült, csak épp egy másik szektorban, az autókereskedelembn. Nézzük meg, ott hogyan alkalmazták a ClickFix technikát.

Egy másik kampány: ClickFix támadás autókereskedői weboldalak ellen

Miközben a vendéglátóipart célzó Booking.com phishing kampány továbbra is aktív, a ClickFix technika már más iparágakban is felbukkant. 2025 márciusában a Dark Reading számolt be egy olyan esetről, amely során több mint 100 autókereskedő weboldala kompromittálódott az Egyesült Államokban, szintén ClickFix-alapú támadókód beágyazásával.3

Ebben az esetben a támadás egy beszállítói láncon keresztül valósult meg. A kompromittált szolgáltató, az LES Automotive, olyan keretrendszert biztosított, amelyet számos autókereskedés weboldala használt. A támadók ennek az infrastruktúrának a sebezhetőségét kihasználva módosították az oldalak forráskódját, és JavaScript-alapú ClickFix támadókódot helyeztek el bennük. A kód hasonló elven működött, mint a Booking.com kampányban: hamis hibaüzeneteket jelenített meg, és rávezette a látogatókat, hogy futtassanak le vágólapra másolt parancsokat.

A célpont ebben az esetben nem a vendéglátóipar, hanem az autóipar volt – de a támadási technika és a végcél ugyanaz maradt: credential stealer kártevők telepítése, amelyek lehetővé tették a támadók számára, hogy belső rendszerekhez, fiókokhoz és pénzügyi adatokhoz férjenek hozzá.

Ez az eset rávilágít a ClickFix egyik legaggasztóbb aspektusára: a technika nem kampányhoz, hanem módszertanhoz kötött. A támadók ott vetik be, ahol a pszichológiai nyomásgyakorlás és a technikai környezet megfelelő – legyen szó egy hotel recepciósáról, vagy egy autókereskedés weboldalának látogatójáról.

A ClickFix terjedése azt mutatja, hogy a támadók figyelmét már nemcsak a célpont szektor értéke, hanem a felhasználói viselkedés befolyásolhatósága határozza meg.

Vizsgáljuk meg, miért különösen veszélyes ez a módszer és milyen kihívásokat támaszt a védekezéssel szemben.

Miért különösen veszélyes a ClickFix technika?

A ClickFix nemcsak egy technikai trükk, hanem egy paradigmaváltás is a social engineering módszerek világában. A hagyományos phishing technikák során a támadó passzív szerepbe helyezi a felhasználót: kattintson egy linkre, töltsön le egy csatolmányt. A ClickFix azonban aktív cselekvésre késztet: a felhasználónak magának kell végrehajtania egy parancsot, amelyet nem is biztos, hogy teljesen ért.

Ez az interaktivitás több szempontból is komoly kihívást jelent:

Megkerüli a hagyományos biztonsági megoldásokat

A legtöbb biztonsági termék – legyen szó e-mail szűrőről, linkelemzőről, sandboxról – olyan rosszindulatú tartalmakat keres, amelyek automatikusan kerülnek a rendszerbe. A ClickFix esetében azonban a parancsot nem az e-mail, hanem a felhasználó juttatja be a rendszerbe – egyenesen a futtatás szintjén. Ez jelentősen csökkenti az automatizált észlelés esélyét.

A parancs láthatatlanul „jön”

A támadók nem arra kérik a felhasználót, hogy gépeljen be valamit – hanem automatikusan a vágólapra másolják a parancsot és csak beillesztést kérnek. Ez csökkenti a hibázás valószínűségét, miközben növeli az esélyét annak, hogy az áldozat nem veszi észre, mit hajt végre.

A legitim műveletek álcája mögé bújik

A Windows + R billentyűkombináció, a PowerShell futtatása, vagy épp a CMD parancsablak használata mind részei lehetnek egy normál hibaelhárítási folyamatnak – különösen IT-tudatosabb felhasználók körében. A támadók ezt az ismerősséget használják ki: nem tűnik gyanúsnak, mert „ilyet már csináltam korábban is”.

A pszichológiai nyomás jól időzített

A támadások gyakran időzítettek: utazási csúcsszezon, munkaidő vége, vagy egy sürgős ügyfélprobléma. Ilyenkor a felhasználók kevésbé figyelnek, inkább gyors megoldást keresnek – és pontosan ezt kínálja nekik a támadó, egy „gyors parancs” formájában.

Skálázható és szektorfüggetlen

A ClickFix technika nem igényel célzott malware-fejlesztést. Ugyanaz a támadási lánc használható szinte bármely iparágban – csak a hibaüzenet szövegét és a kampány tematikáját kell testre szabni. Ez különösen alkalmassá teszi tömeges, kampányszerű visszaélésekre.

A ClickFix tehát nem csupán technológiai, hanem viselkedési szempontból is új kihívást jelent: nem a rendszer automatizmusait, hanem az emberi döntéshozatalt célozza meg – ezt pedig nehezebb szűrni, monitorozni és megelőzni.

Nézzük meg milyen stratégiák, módszerek alkalmazásával védhetők ki a leghatékonyabban az ilyen jellegű támadások.

Védekezési módszerek

A ClickFix technika elleni védekezés csak akkor lehet hatékony, ha a védelem nemcsak technológiai, hanem emberi szinten is megvalósul, azon belül is oly módon, hogy az egyéni felhasználók és a vállalati rendszerek biztonságáért felelős szakemberek tudatosan, egymást kiegészítve lépnek fel.

Az alábbiakban külön az egyéni felhasználókra és külön a biztonsági szakemberekre szabottan foglaljuk össze a ClickFix és a hasonló elven működő támadási technikák elleni hatékony védekezéshez javasolt biztonsági jógyakorlatokat, védelmi lehetőségeket.

Egyéni felhasználók számára ajánlott gyakorlatok

• Ismeretlen parancsok futtatásának mellőzése: Amennyiben egy weboldal vagy elektronikus üzenet arra utasítja a felhasználót, hogy a „Futtatás” (Run) ablakon keresztül parancsot hajtson végre, annak tartalma és forrása minden esetben ellenőrzendő. PowerShell- vagy CMD-parancsok futtatása kizárólag hiteles és ismert forrásból történjen.

• Social engineering technikák felismerése: A támadók gyakran hivatkoznak technikai hibára, sürgős problémára vagy ügyféligényre. Az ilyen kommunikációs formák – különösen, ha parancsvégrehajtást igényelnek – mindig gyanúra adhatnak okot.

• A vágólap tartalmának ellenőrzése: Fontos tudatosítani, hogy egy weboldal képes lehet tartalmat másolni a vágólapra. A parancs beillesztése előtt ajánlott annak tartalmát ellenőrizni, különösen, ha az rendszerszintű műveletet indít.

• Proaktív jelzés és konzultáció: Bármilyen technikai utasítás kapcsán, amelynek hitelessége megkérdőjelezhető, javasolt IT-támogatáshoz vagy biztonsági szakértőhöz fordulni. Egy időben feltett kérdés számos incidenst megelőzhet.

Biztonsági szakemberek és szervezetek számára ajánlott intézkedések

• Célzott tudatosságnövelő programok: A hagyományos phishing tréningeken túlmenően olyan oktatási modulokat is célszerű alkalmazni, amelyek konkrétan a ClickFix típusú fenyegetések felismerésére és kezelésére készítenek fel.

• Viselkedésalapú monitoring: A Run ablakon keresztül indított PowerShell-parancsok, valamint a vágólap-eredetű parancsok észlelése és naplózása segíti a gyors beavatkozást. Az ilyen típusú tevékenységekre célszerű automatizált riasztási szabályokat létrehozni.

• Technikai védelem többrétegű megközelítéssel: Az endpoint protection rendszerek (EDR) képesek lehetnek azonosítani gyanús szkriptfuttatásokat, vágólap-manipulációt és hálózati anomáliákat. A szkriptblokkolási szabályok és aláíratlan PowerShell-futtatások tiltása tovább szűkítheti a támadási felületet.

• Beszállítói lánc biztonsága: A ClickFix technika webes felületeken is megjelenhet, így indokolt a használt külső szolgáltatók – például CMS-bővítmények, tárhelyek – rendszeres biztonsági auditja. A beszállítókkal kötött szerződésekben érdemes minimális biztonsági elvárásokat és frissítési kötelezettségeket rögzíteni.

• Incidenskezelési protokollok kialakítása: Előre definiált eljárásrend szükséges arra az esetre, ha egy felhasználó gyanús parancsot hajt végre. Fontos a gyors elkülönítés, a naplók és hálózati forgalom elemzése, valamint a potenciális további fertőzések feltérképezése.

A ClickFix elleni védekezés kulcsa a technikai és emberi tényezők összehangolásában rejlik. A felhasználói tudatosság, a proaktív monitoring és az incidensre való felkészültség együttesen teremthet hatékony védelmi rendszert.

Záró gondolatok

A ClickFix technika megjelenése jól mutatja, hogy a social engineering típusú támadások új szakaszba léptek: a felhasználók nem csupán célpontjai, hanem manipuláció révén aktív végrehajtói is lehetnek egy kompromittálási láncnak.

A támadás során nem egy automatizált kártevő hajtja végre a kritikus műveleteket, hanem maga az áldozat – sokszor jóhiszeműen, a „hibaelhárítás” szándékával.

A Booking.com nevében indított kampány és az autókereskedői weboldalak kompromittálása egyaránt azt jelzi, hogy a támadók nem csupán új szektorokat céloznak meg, hanem egyre kifinomultabb pszichológiai eszköztárat is alkalmaznak.

A felhasználói rutinokra, reflexekre és problémamegoldási ösztönökre építő módszerek célja nem más, mint a védelem leggyengébb láncszemének – az embernek – a kijátszása.

A védekezés nem szorítkozhat kizárólag technikai megoldásokra. A szervezeteknek, de az egyéni felhasználóknak is meg kell érteniük, hogy a modern támadások sikere gyakran azon múlik, mennyire ismerjük fel a manipulációt és képesek vagyunk-e tudatosan reagálni rá.

A ClickFix tanulsága világos: a támadási felület már nem kizárólag szoftveres vagy hálózati kérdés.

A döntéshozatal, a gyors reagálásra épülő viselkedésminták és az emberi együttműködés is olyan vektorokká váltak, amelyek védelmét nem lehet mellőzni a biztonsági stratégiákból.

Az ilyen támadásokkal szembeni hatékony védelem tudásból, gyakorlatból és éberségből áll, amiket nemcsak felépíteni kell, hanem időről időre frissíteni, próbára tenni és beépíteni a szervezeti kultúrába is.