Закажите пилотный проект
Phishman бесплатно
Phishman бесплатно
Заполните форму, чтобы получить
консультацию экспертов Phishman
консультацию экспертов Phishman
Я хочу получать рекламную информацию об услугах ООО «Фишман» по любым доступным каналам коммуникации, в том числе в виде смс-сообщений на указанный мной номер сотового телефона
Рассматриваем новый набирающий обороты прием социальной инженерии с использованием CAPTCHA, при котором злоумышленники с помощью обмана подталкивают пользователя к самостоятельному запуску вредоносного кода на своем устройстве.
ClickFix: угроза из капчи
Дата публикации: 20.01.2026
Время на чтение: 5 мин.
Алексей Буланов
Редактор Phishman
ClickFix — один из самых заметных отраслевых терминов 2025 года, который активно обсуждают в тематических СМИ по информационной безопасности и экспертных аналитических отчетах. Определение, буквально переводимое как «починить кликом», обозначает новую опасную технику кибератак, получившую широкое распространение среди злоумышленников за последние полтора года.
По данным экспертов Microsoft Defender, в 2024 году 47% атак социальной инженерии пришлось на ClickFix (35% — на фишинг, 18% — на другие методы, включая распыление паролей, теневую компрометацию и отравление поисковой выдачи).
В свою очередь, компания ESET в отчете о ландшафте угроз за первое полугодие 2025 года зафиксировала рост ClickFix-атак на 517% по сравнению со вторым полугодием 2024 года.
Минимальные затраты на организацию атаки в сочетании с умелой эксплуатацией автоматических реакций пользователей делают ClickFix одной из самых быстрорастущих киберугроз.
Механизм атаки
Суть обмана заложена в самом названии: жертва полагает, что исправляет сбой простым кликом мыши и горячими клавишами, но сама запускает вредоносный скрипт.
Атака развивается следующим образом: у пользователя неожиданно выскакивает всплывающее окно с призывом ввести CAPTCHA для проверки на человечность, обновить браузер или установить для него расширение (плагин), подтвердить доступ к файлу, выполнить скрипт через консоль PowerShell или ввести команду по схеме «Win+R → Ctrl+V → Enter».
Суть обмана заложена в самом названии: жертва полагает, что исправляет сбой простым кликом мыши и горячими клавишами, но сама запускает вредоносный скрипт.
Атака развивается следующим образом: у пользователя неожиданно выскакивает всплывающее окно с призывом ввести CAPTCHA для проверки на человечность, обновить браузер или установить для него расширение (плагин), подтвердить доступ к файлу, выполнить скрипт через консоль PowerShell или ввести команду по схеме «Win+R → Ctrl+V → Enter».
Атакующие эксплуатируют привычку к техническим процедурам (прохождение капчи в сети, системные команды консоли и другие) как к рутинным действиям, не требующим критического осмысления. Это подкрепляется точной имитацией интерфейсов популярных сервисов, браузеров и программ, поэтому неосведомленный пользователь рискует не распознать подмену.
Модальное окно с вредоносной инструкцией по «исправлению ошибки» чаще всего появляется на фишинговых сайтах, взломанных легитимных ресурсах или в Telegram-ботах. Такой подход ориентирован на массовую аудиторию, случайно попавшую на эти платформы.
Также возможна целевая атака на компании или госструктуры: злоумышленники маскируются под контрагента (иногда вступая в долгую доверительную переписку) или, к примеру, надзорный орган, присылая «конфиденциальный документ», для доступа к которому якобы требуется выполнить несколько шагов.
Модальное окно с вредоносной инструкцией по «исправлению ошибки» чаще всего появляется на фишинговых сайтах, взломанных легитимных ресурсах или в Telegram-ботах. Такой подход ориентирован на массовую аудиторию, случайно попавшую на эти платформы.
Также возможна целевая атака на компании или госструктуры: злоумышленники маскируются под контрагента (иногда вступая в долгую доверительную переписку) или, к примеру, надзорный орган, присылая «конфиденциальный документ», для доступа к которому якобы требуется выполнить несколько шагов.
Цели атакующих
Возможный ущерб после добровольной установки пользователем вредоносного ПО зависит от его функциональности, прикрепленной к носителю и выполняющей основную задачу (кража данных, шифрование).
В одном сценарии это инфостилер, единоразово крадущий данные из браузеров и дисковых хранилищ включая доступы к приложениям, криптокошельков, менеджеров паролей, файлы .txt, .pdf, .docx, содержимое приложения «Заметки» и другие сведения. Такой подход, в первую очередь, ориентирован на массовую аудиторию, но также угрожает бизнес-среде.
Для частных лиц это может вызвать кражу средств с банковских счетов, обнуление криптокошельков или несанкционированные переводы, а также использование украденных паролей для взлома e-mail, соцсетей и онлайн-магазинов с последующим шантажом личными фото и документами.
У пользователей из B2B-сегмента могут быть захвачены корпоративные учетные данные (VPN, протоколы удаленного рабочего стола RDP, e-mail) с последующей утечкой конфиденциальных документов или подготовкой плацдарма для атаки.
В другом случае применяется вымогательская программа ransomware, а мишень — бизнес. Здесь вредонос целенаправленно проникает в инфраструктуру компании для кражи и шифрования корпоративных данных с последующей угрозой их публикации на сайтах утечек.
Успешная атака приводит к необходимости многомиллионного выкупа и простою операций из-за невозможности доступа к базам данных и документам. Репутационные убытки усиливаются риском публикации конфиденциальной информации (контракты, клиентские данные), что грозит судебными исками и потерей доверия партнеров.
Возможный ущерб после добровольной установки пользователем вредоносного ПО зависит от его функциональности, прикрепленной к носителю и выполняющей основную задачу (кража данных, шифрование).
В одном сценарии это инфостилер, единоразово крадущий данные из браузеров и дисковых хранилищ включая доступы к приложениям, криптокошельков, менеджеров паролей, файлы .txt, .pdf, .docx, содержимое приложения «Заметки» и другие сведения. Такой подход, в первую очередь, ориентирован на массовую аудиторию, но также угрожает бизнес-среде.
Для частных лиц это может вызвать кражу средств с банковских счетов, обнуление криптокошельков или несанкционированные переводы, а также использование украденных паролей для взлома e-mail, соцсетей и онлайн-магазинов с последующим шантажом личными фото и документами.
У пользователей из B2B-сегмента могут быть захвачены корпоративные учетные данные (VPN, протоколы удаленного рабочего стола RDP, e-mail) с последующей утечкой конфиденциальных документов или подготовкой плацдарма для атаки.
В другом случае применяется вымогательская программа ransomware, а мишень — бизнес. Здесь вредонос целенаправленно проникает в инфраструктуру компании для кражи и шифрования корпоративных данных с последующей угрозой их публикации на сайтах утечек.
Успешная атака приводит к необходимости многомиллионного выкупа и простою операций из-за невозможности доступа к базам данных и документам. Репутационные убытки усиливаются риском публикации конфиденциальной информации (контракты, клиентские данные), что грозит судебными исками и потерей доверия партнеров.
В третьем варианте получение доступа к полученному на почту документу через CAPTCHA может привести к заражению корпоративной или государственной сети шпионским ПО spyware. Оно нацелено на продолжительную слежку с целью доступа и кражи особо чувствительных данных с технологической или политической ценностью в реальном времени.
Это, в свою очередь, чревато кибершпионажем со стороны недружественных акторов, дипломатическими скандалами, потерей конкурентных преимуществ на экспортных рынках.
Это, в свою очередь, чревато кибершпионажем со стороны недружественных акторов, дипломатическими скандалами, потерей конкурентных преимуществ на экспортных рынках.
Рекомендации
Для бизнеса ключевыми мерами противодействия ClickFix станут политики безопасности: запрет сочетания Win+R, выполнения PowerShell-скриптов и скриптов буфера обмена в браузерах для сотрудников, которым это не требуется по должностным обязанностям.
Затем — внедрение стека программных решений: Secure Email Gateway (SEG) для минимизации входящих писем с фишинг-вложениями, антивирусов для блокировки перехвата буфера обмена, систем управления событиями безопасности (SIEM) для выявления всплесков трафика, DLP-систем для остановки выгрузки данных, EDR-продуктов для остановки подозрительных PowerShell-команд.
И, конечно, необходимо развитие киберграмотности сотрудников: обучение цифровой гигиене и распознаванию новых методов социальной инженерии, с акцентом на недоверие к командам из сомнительных источников.
Частным пользователям сети рекомендуем оставаться бдительными: следить за новостями о социальной инженерии, включать двухфакторную аутентификацию на аккаунтах, инвестировать в качественный антивирус и развивать личную киберосознанность, помня, что методы мошенников эволюционируют ежедневно.
Для бизнеса ключевыми мерами противодействия ClickFix станут политики безопасности: запрет сочетания Win+R, выполнения PowerShell-скриптов и скриптов буфера обмена в браузерах для сотрудников, которым это не требуется по должностным обязанностям.
Затем — внедрение стека программных решений: Secure Email Gateway (SEG) для минимизации входящих писем с фишинг-вложениями, антивирусов для блокировки перехвата буфера обмена, систем управления событиями безопасности (SIEM) для выявления всплесков трафика, DLP-систем для остановки выгрузки данных, EDR-продуктов для остановки подозрительных PowerShell-команд.
И, конечно, необходимо развитие киберграмотности сотрудников: обучение цифровой гигиене и распознаванию новых методов социальной инженерии, с акцентом на недоверие к командам из сомнительных источников.
Частным пользователям сети рекомендуем оставаться бдительными: следить за новостями о социальной инженерии, включать двухфакторную аутентификацию на аккаунтах, инвестировать в качественный антивирус и развивать личную киберосознанность, помня, что методы мошенников эволюционируют ежедневно.
Cтатья была для вас полезной?