Stellen Sie sich vor, Sie öffnen eine vertraute Webseite – vielleicht ein Nachrichtenportal, die Seite eines Lieferanten oder ein Online-Tool, das Ihr Team täglich nutzt. Plötzlich erscheint ein Fenster: „Cloudflare-Verifizierung – bitte bestätigen Sie, dass Sie kein Roboter sind." Es sieht überzeugend aus, komplett mit Logo. Die Anweisung lautet: Drücken Sie Win + R, dann Strg + V, dann Enter. Drei Tastenanschläge. Ihr Computer ist nun infiziert.
Das ist kein Gedankenexperiment. Im Mai 2026 deckten Sicherheitsforscher von Malwarebytes auf, dass Angreifer mit genau dieser Methode mehr als 700 legitime Webseiten kompromittiert hatten – darunter Universitäten, Technologieunternehmen und Finanzportale. Die Angriffstechnik trägt den Namen ClickFix.
Was ist ClickFix und wie funktioniert es?
ClickFix ist eine Social-Engineering-Technik, die das Vertrauen der Menschen in Web-Verifikationselemente ausnutzt. Angreifer schleusen eine gefälschte Identitätsprüfung in kompromittierte Seiten ein – eine, die echten CAPTCHA-Abfragen von Cloudflare oder Google täuschend ähnlich sieht.
Der entscheidende Trick läuft im Hintergrund ab: Während das gefälschte CAPTCHA lädt, kopiert JavaScript lautlos einen bösartigen Befehl in Ihre Zwischenablage – typischerweise einen Windows-PowerShell-Befehl. Die „Verifikationsanweisung" fordert Sie dann auf, den Ausführen-Dialog mit Win + R zu öffnen, den Inhalt der Zwischenablage mit Strg + V einzufügen und mit Enter zu bestätigen. Sie glauben, Ihre Identität zu beweisen. In Wirklichkeit starten Sie Schadsoftware.
Bei der diesen Monat aufgedeckten Kampagne nutzten Angreifer eine Schwachstelle im Ghost CMS (CVE-2026-26980), um bösartigen Code in mehr als 700 Webseiten einzuschleusen. Laut Microsofts Bericht zur E-Mail-Bedrohungslandschaft für das erste Quartal 2026 hat sich die Anzahl der hinter gefälschten CAPTCHAs versteckten Phishing-Angriffe innerhalb eines Quartals mehr als verdoppelt.
Was passiert nach der Infektion?
Der bösartige Befehl lädt eine Schadsoftware herunter und führt sie aus – meistens einen Infostealer oder einen Remote-Access-Trojaner (RAT). Infostealer wie StealC oder Lumma Stealer durchsuchen Ihr Gerät sofort und senden dem Angreifer gespeicherte Browser-Passwörter, Session-Cookies, Kreditkartennummern und Arbeitsdateien. Ein RAT gibt dem Angreifer die volle Fernsteuerung über Ihren Computer.
Für Unternehmen gehen die Folgen weit über ein einzelnes kompromittiertes Gerät hinaus. Gestohlene Unternehmensanmeldedaten können dem Angreifer Tür und Tor zum gesamten Netzwerk, zu E-Mail-Servern oder Cloud-Anwendungen öffnen – und damit einen Ransomware-Angriff auf das gesamte Unternehmen auslösen.
Wie erkenne ich ein gefälschtes CAPTCHA?
Ein echtes CAPTCHA wird Sie niemals auffordern, Befehle auf Ihrem Computer auszuführen. Hier sind die wichtigsten Warnsignale:
- Anweisungen, Win + R zu drücken – keine seriöse Webseite benötigt das jemals.
- „Kopieren und einfügen Sie diesen Code" – selbst wenn der sichtbare Text harmlos aussieht, kann die Zwischenablage etwas völlig anderes enthalten.
- Countdown-Timer oder dringende Verifizierung – Zeitdruck ist eine klassische Manipulationstaktik.
- Unerwartete Verifizierung auf einer vertrauten Seite – wenn eine Seite, die Sie regelmäßig besuchen, plötzlich eine Cloudflare-Verifizierung anzeigt, überprüfen Sie die URL sorgfältig.
Praktischer Schutz für Sie und Ihr Unternehmen
Die gute Nachricht: ClickFix-Angriffe sind vermeidbar. Einige grundlegende Maßnahmen machen den entscheidenden Unterschied:
- Führen Sie niemals Befehle aus, die eine Webseite anweist. Keine Verifikationsseite benötigt das von Ihnen.
- Halten Sie Ihren Browser und Ihr Betriebssystem aktuell – Patches schließen die Schwachstellen, die Angreifer für das Einschleusen von Schadcode nutzen.
- Verwenden Sie Endpoint-Security-Software mit Echtzeitschutz, die heruntergeladene Schadsoftware vor der Ausführung abfängt.
- Schulen Sie Ihre Mitarbeiter – ein falscher Klick ist ein menschlicher Fehler, aber regelmäßige Sensibilisierungsschulungen reduzieren das Risiko erheblich.
- Schränken Sie die PowerShell-Ausführung für Standardbenutzer per Group Policy ein – nicht jeder braucht Administratorrechte.
Wenn Sie sich nicht sicher sind, ob Ihr Unternehmensnetzwerk ausreichend geschützt ist, oder wenn Sie eine Sicherheitsüberprüfung wünschen, helfen wir Ihnen gerne. Schreiben Sie uns an info@sycom.sk – der Schutz Ihrer Daten hat für uns höchste Priorität.