Apple skyddar mot skadliga ”jag är inte en robot-rutor”

Publicerad: 2026-04-01

Senast ändrad: 2026-04-01

Angripare försöker lura användare att infektera sig själva. Falska captcha-rutor påstår att användarna måste klistra in kommandon i terminal-appen. Apples senaste Mac OS-uppdatering hindrar användarna från att råka infektera sina datorer.

Genom åren har webbläsarna blivit allt säkrare. Webbläsarna isolerar webbplatsinnehållet så att en skadlig webbsida inte kan infektera datorn eller komma åt information från webbplatser i andra flikar. När det upptäcks sårbarheter i moderna webbläsare åtgärdas dessa snabbt och automatiskt. Användarna behöver bara starta om sina webbläsare när de ser en sådan uppmaning.

Eftersom webbläsarna har blivit så säkra försöker angriparna få användarna att infektera sig själva. Angriparna kan exempelvis lura användare att ladda ned trojaner. Läs mer om detta i vår fjolårsgranskning om infekterade ai-verktyg .

Falska captcha-rutor lurar användaren att infektera sig själv

En till synes växande attacktyp är de så kallade ”clickfix-attackerna”. Angripare försöker lura användare att kopiera ett kommando och klistra in det i Windows kör-ruta eller Mac OS terminal. Då skyddar inte webbläsarens isolering eftersom användaren kör kommandot utanför webbläsaren.

Clickfix-attacker börjar ofta med falska ”captcha-rutor” (kontrollrutor som kontrollerar att besökaren inte är en robot). Användaren hamnar på en infekterad sida och möts av en klickruta som påstås kontrollera att användaren är en människa, inte en robot.

Skärmavbild av Chrome i Windows 11 som visar en webbplats med en (falsk) Google Recaptcha-ruta. I rutan står ”jag är inte en robot” (på engelska). — Clickfix-attacker börjar ofta med falska captcha-rutor.

När användaren klickar på rutan kopieras ett skadligt kommando till datorns urklipp. Detta märks inte över huvud taget. Användaren möts däremot av en uppmaning som ser olika ut beroende på operativsystem. I Windows uppmanas användaren att hålla nere Windows-tangenten och trycka på ”R”. Det är kortkommandot för att öppna kör-prompten. Där uppmanas användaren att hålla ned ctrl-tangenten och trycka på ”V”, det vill säga kortkommandot för att klistra in texten som i lönndom har kopierats till datorns urklipp.

Skärmavbild av Chrome i Windows 11 som visar en webbsida med uppmaningen ”slutför dessa verifieringssteg” (på engelska) följt av instruktioner om att öppna Windows kör-ruta, klistra in text och trycka på enter-tangenten. — De falska captcha-rutorna uppmanar användarna att klistra in ett kommando.

I Mac OS är förfarandet nästan likadant. Mac OS har ingen kör-prompt, så angriparna ber i stället användaren att öppna appen Terminalen.

I det här fallet fyller Windows kör-prompt och Mac OS terminal samma funktion. Användaren luras att klistra in och köra ett kommando som laddar ned och kör ett skadeprogram på datorn.

Skärmavbild av Safari i Mac OS 26 som visar en webbsida med uppmaningen ”slutför dessa verifieringssteg” (på engelska) följt av instruktioner om att öppna terminalen, klistra in text och trycka på enter-tangenten. — I Mac OS försöker angriparna få användarna att klistra in ett kommando i terminalen.

Mac OS får inbyggt skydd mot clickfix-attacker

I den senaste versionen av Mac OS (26.4) har Apple lagt till en funktion som skyddar användaren mot denna typ av clickfix-attacker. Om användaren kopierar ett kommando från webbläsaren och försöker klistra in det i terminalen dyker det upp en varning med rubriken ”Möjligt sabotageprogram, inklistring blockerades”.

Varningen förklarar vad som troligtvis håller på att hända och ger vanligtvis användaren två val: ”klistra inte in” eller ”klistra in”. Om Mac OS inbyggda antivirusprogram Xprotect vet att kommandot är skadligt saknas inklistringsmöjligheten.

Skärmavbild av dialogruta i Mac OS 26 med rubriken ”möjligt sabotageprogram, inklistring blockerades”. I rutan står: ”bedragare uppmanar ofta till att klistra in text i Terminal för att försöka skada datorn eller äventyra din integritet”. Användaren har två val: ”klistra inte in” (blå knapp) eller ”klistra in ändå” (röd knapp). — Mac OS har fått ett inbyggt skydd som stoppar clickfix-attacker.

Mac OS gör på samma sätt om användaren försöker klistra in ett kommando som har kopierats från mejl- eller meddelandeappen. Gemensamt dessa apptyper är att de ger angripare möjlighet att visa eller skicka uppmaningar till användaren. Om användaren däremot har kopierat kommandot från sina egna anteckningar dyker det inte upp någon varningsruta.

Varningen inaktiveras för utvecklare

Vanliga användare har nästintill inga skäl att någonsin öppna terminalen i Mac OS. Den nya varningsrutan kommer därför inte att bli något irritationsmoment för den breda skaran av medarbetare.

För utvecklare är situationen den motsatta. Även om de aldrig bör klistra in terminalkommandon som de har kopierat från icke-betrodda webbsidor (på grund av risken för dolda tecken) är terminalen en av utvecklarnas mest använda appar.

Utvecklare är också mer medvetna om riskerna som är förenade med att klistra in kommandon i terminalen. Apple har därför gjort så att varningen inte dyker upp för utvecklare. I ett inlägg på X redogör en av säkerhetsföretaget Jamfs säkerhetsforskare för hur Mac OS avgör vem som är utvecklare. Efter att vi på SSF provade att installera utvecklingsmiljön VS Code på vår testdator slutade varningen mycket riktigt att dyka upp.

Rekommendationer

SSF rekommenderar företag (och privatpersoner) att uppgradera till Mac OS 26.4 för att dra nytta av det nya skyddet mot clickfix-attacker.

Tyvärr finns ingen motsvarande lösning för Windows än. SSF påminner därför om vikten av att veta hur clickfix-attacker ser ut och går till. Påminn gärna dina kollegor och visa exemplen ur denna artikel.

Kom ihåg! Alla captcha-rutor som uppmanar användaren att klistra in något i kör-prompten eller terminalen är, utan undantag, bedrägliga. Samma sak gäller för övrigt captcha-rutor som vill att användaren aktiverar push-notiser i webbläsaren.