27. Februar 2026
Meldungen zu Anrufen im Namen angeblicher Behörden gehören seit Monaten zu den am meisten an das BACS gemeldeten Fällen. Besonders häufig geben sich die Täter dabei als Mitarbeitende von Polizeibehörden aus. Aktuell zeigt das Phänomen eine Weiterentwicklung: Betrüger geben sich auch als Mitarbeitende des BACS aus. Aktuell beobachtet das BACS eine Zunahme von Meldungen zu der Infektionsmethode «ClickFix». Dabei werden Nutzerinnen und Nutzer durch vorgetäuschte technische Probleme dazu verleitet, schädlichen Code selbstständig in die Kommandozeile ihres Computers einzufügen und auszuführen. Die Masche umgeht geschickt technische Sicherheitsmassnahmen, da die Opfer die Infektion ihres Systems faktisch selbst autorisieren.Während frühere Varianten meist auf die direkte Herausgabe von Zugangsdaten oder Finanzinformationen abzielten, kombinieren aktuelle Fälle psychologischen Druck und umfasen sowohl Fernzugriff auf den Computer als auch ein physisches Erscheinen am Wohnort der Opfer.
Hinter dem Begriff «ClickFix» verbirgt sich eine raffinierte Social-Engineering-Taktik. Der Name «ClickFix» beschreibt eine eine schnelle Lösung für ein technisches Problem («Fix»), dass durch einen einfachen Klick («Click») angeboten wird. Die Angreifer manipulieren legitime, aber schlecht gesicherte Webseiten oder schalten Werbeanzeigen, die auf präparierte Seiten führen. Sobald eine Person die Seite besucht, erscheint ein täuschend echt aussehendes Overlay-Fenster oder ein Pop-Up-Fenster.
Laut den Angaben in diesem Fenster liegt ein technisches Problem vor – etwa ein fehlgeschlagenes Browser-Update, ein DNS-Fehler, ein Problem beim Darstellen der Inhalte oder am häufigsten, dass ein angebliches CAPTCHA zu lösen sei. Um das Problem zu beheben, wird dem Nutzer eine Schaltfläche eingeblendet.
Vom Browser in die Kommandozeile
Nutzerinnen und Nutzer ahnen dabei nicht, dass das Öffnen der Webseite bereits einen bösartigen «PowerShell»-Befehl (für Windows) oder einen «Terminal»-Befehl (für macOS) in die Zwischenablage kopiert hat. Das Opfer wird dann angewiesen, unscheinbare Tastenkombinationen zu tätigen. Diese Tastenkombinationen haben es aber in sich. Auf diese Weise wird die Konsole geöffnet und der zuvor in die Zwischenablage kopierte Code eingefügt. Durch das Drücken der Enter-Taste wird der Befehl dann auch gleich ausgeführt und Schadcode geladen.
Schadenspotential
Sobald der Befehl ausgeführt wird, versucht das Skript, eine Verbindung mit einem Server aufzubauen und ein bösartiges Programm herunterzuladen. Während der direkte Download einer Schadsoftware durch Antivirenprogramme oft blockiert wird, stammt der Befehl für den Download nun direkt vom Benutzer im Kontext seiner eigenen Berechtigungen, so dass viele Sicherheitsmechanismen nicht Alarm schlagen. Dabei wird meist ein sogenannter «Infostealer» nachgeladen. Diese Schadsoftware ist darauf spezialisiert, Passwörter aus Browsern auszulesen, Krypto-Wallets zu leeren oder Sitzungs-Cookies aus den Internet-Browsern zu stehlen, mit denen sich Angreifer ohne Passwort in Konten (z. B. E-Mail oder Firmensysteme) einloggen können. In Firmennetzwerken kann dies zudem der erste Schritt für eine spätere Ransomware-Attacke sein.
Erweiterte Methode: «CrashFix»
Seit Anfang des Jahres haben sich zusätzliche Vorgehensweisen etabliert. Eine dieser Methoden ist unter dem Namen «CrashFix» bekannt. Dabei werden manipulierte Browser-Erweiterungen verbreitet, die als nützliche Tools wie zum Beispiel Werbeblocker getarnt sind. Diese Erweiterungen sind so programmiert, dass sie mit einer Zeitverzögerung absichtlich einen Browserabsturz verursachen. Nach dem Neustart des Browsers erscheint eine Meldung, die den Nutzer dazu auffordert, den angeblichen Fehler durch die Eingabe bestimmter Befehle zu «reparieren». In Wahrheit ermöglichen diese Befehle ebenfalls die Installation von Schadsoftware.
Empfehlungen
- Seien Sie misstrauisch, wenn auf Webseiten behauptet wird, Ihr Browser müsse aktualisiert werden oder ein Fehler könne nur durch das Ausführen von Befehlen behoben werden. Offizielle Browser-Updates laufen über die internen Einstellungen des Browsers ab, nie über eine Webseite.
- Kopieren Sie niemals Code oder Befehle aus unbekannten Quellen direkt in die «PowerShell», das «Terminal» oder die Eingabeaufforderung.
- Installieren Sie keine Programme aus unbekannten Quellen.
- Informieren Sie Mitarbeitende über diese spezifische Masche. Das Bewusstsein, dass eine Webseite niemals dazu auffordern würde, manuell Befehle im System einzugeben, ist der beste Schutz.
- In Unternehmensumgebungen sollte geprüft werden, ob die Ausführung von «PowerShell»-Skripten für normale Benutzer eingeschränkt werden kann.
- Sollten Sie Opfer einer solchen Attacke geworden sein, melden Sie den Vorfall.
Quelle: NCSC Schweiz
