Hamis frissítésre kér egy weboldal? Így verhetnek át ClickFix és FakeUpdate támadásokkal

Röviden

• A böngészőfrissítést mindig a böngésző saját menüjéből vagy hivatalos forrásból indítsd.

• Ha egy weboldal parancs bemásolására kér PowerShellbe, Terminálba vagy parancssorba, kezeld veszélyes jelként.

• A hamis frissítések gyakran sürgetnek: „a videó nem indul”, „hiányzó codec”, „biztonsági frissítés kell”.

• Fertőzésgyanú esetén azonnal szakítsd meg a kapcsolatot, futtass ellenőrzést, és cserélj jelszót tiszta eszközről.

Mi az a FakeUpdate?

A FakeUpdate olyan megtévesztés, amikor egy weboldal valódi frissítésnek látszó üzenetet mutat. A felhasználó azt hiheti, hogy Chrome-, Edge-, Firefox-, Flash-, codec- vagy videólejátszó-frissítést kell telepítenie.

A cél általában az, hogy a felhasználó letöltsön és elindítson egy rosszindulatú fájlt. A támadók azért használják ezt a módszert, mert a frissítés gondolata ismerős és hihető: mindenki látott már böngésző- vagy rendszerfrissítést.

Mi az a ClickFix?

A ClickFix jellegű támadásoknál a csaló oldal nem feltétlenül fájlt akar letöltetni. Inkább lépésről lépésre ráveszi a felhasználót, hogy másoljon be egy parancsot a rendszerbe, például PowerShellbe vagy Terminálba.

Ez különösen veszélyes, mert a felhasználó saját maga futtatja a parancsot. Ilyenkor a biztonsági figyelmeztetések is kevésbé egyértelműek lehetnek, hiszen nem egy klasszikus „letöltött vírus” helyzetnek tűnik.

Milyen mondatokra figyelj?

• „A videó megtekintéséhez frissítened kell a böngészőt.”

• „Másold be ezt a parancsot a hiba javításához.”

• „Nyomd meg a Windows + R billentyűt, majd illeszd be ezt.”

• „A CAPTCHA ellenőrzéshez futtasd ezt a parancsot.”

• „A rendszered elavult, azonnali javítás szükséges.”

Mit tegyél helyette?

1. Zárd be az oldalt.

2. Ne tölts le semmit, és ne másolj be parancsot.

3. Nyisd meg a böngésző saját frissítési menüjét.

4. Ha programfrissítés kell, menj a gyártó hivatalos oldalára.

5. Futtass megbízható vírus- és kártevőellenőrzést.

6. Ha már futtattál parancsot, válaszd le a gépet a hálózatról, és kérj szakértői segítséget.

Miért dőlnek be sokan?

Mert a támadás a megszokott problémákra épít: nem indul a videó, hibát jelez a böngésző, nem működik egy letöltés, vagy valami sürgősnek látszik. A felhasználó nem „vírust akar futtatni”, csak meg akar oldani egy kellemetlen helyzetet.

Ezért a legjobb védelem a lassítás. Egy valódi frissítés ritkán követeli meg, hogy egy ismeretlen weboldalról kapott parancsot kézzel futtass.

A lényeg

Ha egy weboldal frissítésre, parancs bemásolására vagy furcsa rendszerlépésre kér, állj meg. A böngésző és a rendszer frissítése a hivatalos beállításokon keresztül történjen, ne egy véletlenül megnyitott oldal utasítása alapján.

Munkahelyi gépen még nagyobb a kockázat

Céges gépen egy hamis frissítés vagy parancsbemásolós támadás nem csak a saját fájljaidat veszélyezteti. Hozzáférhet belső rendszerekhez, ügyféladatokhoz, jelszavakhoz vagy fejlesztői kulcsokhoz is.

Ha munkahelyi eszközön futtattál gyanús parancsot, ne próbáld egyedül eltüntetni a nyomokat. Azonnal szólj az IT-nak vagy rendszergazdának, mert a gyors reakció sokkal fontosabb, mint a kellemetlen magyarázkodás elkerülése.

Források / további olvasás

• CISA: online csalások és kártevők elleni felhasználói tanácsok.

• Microsoft Security: PowerShell és rosszindulatú parancsfuttatás elleni védekezés.

• Google Chrome Help: böngésző frissítése hivatalos módon.

Miért működik a hamis frissítéses trükk?

A hamis frissítések egyik ereje az, hogy ismerős helyzetet utánoznak. A felhasználó megszokta, hogy a böngésző, a videólejátszó, a rendszer vagy egy biztonsági komponens időnként frissítést kér. A támadó ezt a reflexet használja ki: úgy állítja be a helyzetet, mintha a tartalom csak akkor lenne elérhető, ha gyorsan telepítesz vagy futtatsz valamit.

A ClickFix típusú támadásoknál különösen gyanús, ha egy weboldal parancs bemásolására, terminál vagy PowerShell megnyitására, illetve manuális biztonsági „javításra” kér. Egy normál weboldalnak erre nincs szüksége. Ha mégis ilyen instrukciót ad, azt érdemes azonnal veszélyjelzésként kezelni.

Mit csinálj helyette?

• Frissítést csak a programon belül vagy a hivatalos weboldalról indíts.

• Ne másolj parancsot a vágólapra ismeretlen oldalról.

• Ne telepíts böngészőbővítményt csak azért, mert egy oldal kéri.

• Ha videó vagy dokumentum nem nyílik meg, inkább zárd be az oldalt és keress megbízható forrást.

• Céges gépen jelentsd az ilyen oldalt az IT-nak, mert más kollégákat is célba vehet.

A legjobb védekezés itt nem bonyolult: ha egy weboldal rendszerszintű műveletet kér, állj meg. A valódi frissítés nem sürget ismeretlen parancsok futtatására.

Mi van, ha már rákattintottál?

Ha csak megnyitottál egy gyanús oldalt, még nem biztos, hogy baj történt. A nagyobb kockázat akkor jön, ha letöltöttél és futtattál valamit, parancsot másoltál be, engedélyt adtál egy bővítménynek, vagy megadtad a belépési adataidat. Ilyenkor nem érdemes várni, hogy „majd kiderül”.

Első lépésként zárd be az oldalt, futtass megbízható biztonsági ellenőrzést, távolítsd el a gyanús bővítményeket, és cserélj jelszót az érintett fiókoknál. Céges eszköznél azonnal jelezd az IT-nak, mert a gyors reakció sokszor fontosabb, mint az, hogy egyedül próbáld megoldani.