Bedragare utnyttjar dubbla nätfiskemetoder
Publicerad: 2026-04-19
Senast ändrad: 2026-04-23
Bedragare är uppfinningsrika. De hittar ständigt på nya metoder för att lura medarbetare. Förra veckan upptäckte SSF en bedräglig webbplats som utnyttjade dubbla nätfiskemetoder för att verka extra övertygande. Nätfiskesajten är ett bra utbildningsexempel för att lära alla medarbetare att känna igen bedragarnas knep.
Clickfix-attacker lurar användare att infektera sig själva
Så kallade ”clickfix-attacker” försöker lura användare att infektera sina egna datorer. Ett ”klick” påstås ”fixa” ett problem.
Angriparna kan exempelvis lura in användare till klonade kopior av populära webbplatser. Där påstår angriparna att användarna blockeras för att de misstänks vara robotar. För att fixa detta måste användarna klicka på en ruta som bekräftar att de är människor. När användarna gör det kopieras ett kommando till deras datorers urklipp.
Den bedrägliga webbsidan påstår därefter att användarna måste öppna kör-prompten i Windows eller terminalen i Mac OS. Där uppmanas användarna att klistra in det kopierade kommandot. Om användarna gör det infekteras deras datorer.
Angriparna utformar ofta clickfix-attackerna så att användarna inte ska reflektera över vad som händer. Angriparna skriver exempelvis: håll ner Windows-tangenten och tryck på R (kortkommandot för att öppna körprompten), håll ned ctrl-tangenten och tryck på V (kortkommandot för att klistra in text) och tryck på Enter.
Dubbelattacksajten använde clickfix-attack
En av de två attacktyperna som SSF upptäckte på den nämnda nätfiskesajten var just en clickfix-attack.
Angriparna hade satt upp en klonad version av den officiella Google Business Profile-sajten (en webbplats där företag kan välja hur de vill presenteras på Googles plattformar). När en användare försökte logga in på den falska webbplatsen dök det upp ruta som påstods kontrollera om användaren var en robot.
Den bedrägliga webbsidan ville att användaren skulle klicka i en ”jag-är-inte-en-robot-ruta”.
Robotkontrollrutan var i själva verket var en clickfix-ruta. När användaren klickade på rutan dök det upp instruktioner som uppmanade användaren att klistra in ett kommando i kör-prompten.
Den bedrägliga webbsidan ville att besökaren skulle klistra in ett kommando i Windows kör-prompt.
Clickfix-attacker är en vanlig intrångsväg
Clickfix-attacker har varit ett växande problem under 2024 och 2025. Enligt den senaste utgåvan av Microsoft Digital Defense Report har clickfix-attacker seglat upp och blivit den vanligaste intrångsvägen.
Det är därför viktigt att alla medarbetare är medvetna om attackmetoden. Samtliga påståenden om att användaren ska verifiera sig genom att öppna kör-prompten i Windows (Windows-tangenten + R) eller terminalen i Mac OS är utan undantag attackförsök.
Den senaste versionen av Mac OS har fått ett inbyggt skydd som stoppar många clickfix-attacker . Än så länge saknas motsvarande funktion i Windows.
Browser-in-the-browser-attacker visar falsk domän
Så kallade ”browser-in-the-browser-attacker” försöker lura användare att de befinner sig på en annan adress än den faktiska. De bedrägliga webbplatserna gör det genom att först kontrollera vilken webbläsare och vilket operativsystem som besöket kommer från. Sedan genererar angriparna en popupruta som är utformad likt ett webbläsarfönster.
Angriparna skapar falska popuprutor som liknar webbläsarfönster från användarnas operativsystem.
Vid en snabb anblick ser det ut som att ett helt nytt webbläsarfönster har öppnats. I själva verket täcks webbsidan bara av en vanlig popupruta, precis som popuprutorna som samlar in nyhetsbrevsadresser eller ber om besökarnas samtycke till spårning.
Eftersom den bedrägliga popuprutan inte är något riktigt webbläsarfönster kan angriparna själva välja vilken adress som ska visas i dess falska adressfält.
Dubbelattacksajten använde browser-in-the-browser-attack
Den andra attacktypen som SSF noterade på den nämnda dubbelattacksajten var just en browser-in-the-browser-attack.
När en användare klickade på att logga in öppnades en popupruta (ett falskt webbläsarfönster) vars adressfält visade adressen accounts.google.com. Det är den riktiga adressen till Googles inloggningssida. Webbsidan som det falska webbläsarfönstret ritades ovanpå hade dock en helt annan adress där Google var felstavat.
Webbsidan som visade det falska webbläsarfönstret låg på en felstavad version av Googles domän.
Positionen avslöjar falska webbläsarfönster
Falska webbläsarfönster kan se mycket trovärdiga ut. Lyckligtvis kan de avslöjas på ett simpelt sätt. Eftersom de egentligen bara är grafik som ritas ovanpå en webbsida är de platsmässigt begränsade av webbsidans ramar. Ett falskt webbläsarfönster går ofta att flytta runt, men det kan aldrig dras ut från webbsidan.
Riktiga webbläsarfönster likt det på bilden kan flyttas runt över hela skärmen. Falska webbläsarfönster kan bara flyttas runt på webbsidan som skapat dem.
Rekommendationer
Clickfix-attacker och browser-in-the-browser-attacker utnyttjar kunskapsluckor. Alla medarbetare måste lära sig att aldrig följa clickfix-attackernas uppmaningar.
Alla medarbetare måste också känna till att browser-in-the-browser-attacker förekommer och att medarbetare kan avslöja attackerna genom att försöka flytta ut det misstänkta webbläsarfönstret från den underliggande webbsidan.
