Na první pohled to vypadá jako běžná návštěva webu s přístupem k obsahu pro dospělé. Stránka se tváří jako Pornhub nebo xHamster, obrázky vypadají věrohodně a uživatel má pocit, že stačí kliknout pro přehrání videa. Skutečnost je jiná. Ve chvíli, kdy návštěvník udělá jakýkoli klik, stránka přepne prohlížeč do režimu celé obrazovky a začne napodobovat prostředí aktualizace Windows. Tím se spustí promyšlená manipulace, která má vést ke spuštění škodlivého kódu.

Podvodná obrazovka simuluje klasické rozhraní aktualizace. Nejde o stažení oprav operačního systému, ale o sociální inženýrství v nejčistší podobě. Uživatel dostává pokyny, které vypadají technicky nenáročně. Stiskněte kombinaci kláves, vložte příkaz a potvrďte ho. To vše je prezentované jako nutný krok k dokončení údajné aktualizace. Ve skutečnosti se tím spouští skript útočníka a otevírá se cesta pro malware.

Zdroj: Shutterstock

Proč tento trik funguje

Útočníci sází na to, že běžný uživatel nemá detailní znalosti o tom, jak skutečné aktualizace probíhají. Režim celé obrazovky zároveň potlačí vše, podle čeho by člověk poznal, že zůstává v prohlížeči. Přidáním pornografických motivů roste pravděpodobnost, že oba kroky – klik i následné příkazy – proběhnou bez dlouhého přemýšlení.

A právě zde se útok stává nejnebezpečnější. Zlomové okamžiky trvají jen několik vteřin. Tři jednoduché kroky doporučené podvodnou obrazovkou stačí k tomu, aby se do počítače dostaly trojské koně nebo nástroje schopné krást hesla a přihlašovací údaje. Mezi nimi se objevují varianty Rhadamanthys, Vidar 2.0, RedLine nebo Amadey. V krajním případě může být zařízení dálkově ovládané a útočník získá plný přístup.

Na druhé straně existuje jednoduchý způsob, jak útoku uniknout. Z režimu celé obrazovky se lze kdykoliv vrátit klávesou Escape nebo F11. V ten moment je zřejmé, že se nejedná o skutečný systémový proces. Mizí tak i barva a animace, kterými se podvodné stránky snaží napodobit prostředí Windows.

Trik, který se rychle vyvíjí

Bezpečnostní firmy tento způsob útoků označují jako ClickFix. Nejprve se objevoval v podobě falešných bezpečnostních varování nebo CAPTCHA. Teď se přesouvá do prostředí, kde uživatelé méně kontrolují, co přesně se na stránce děje. Napodobeniny známých značek zatočí i s těmi, kdo jsou jinak opatrní. Kliknutí na video totiž působí jako automatická reakce.

Podobné útoky se v posledních měsících šíří hlavně prostřednictvím škodlivých reklam. Z nich se uživatel dostane na klony pornografických platforem, které fungují jen jako návnada. Výhodou pro útočníka je jednoduchost a flexibilita. Technika umožňuje vkládat nejen obrázky, ale i video a interaktivní prvky, které vypadají důvěryhodněji než statické bannery.