Всичко може да започне с нещо толкова банално, колкото влаченето на линк в браузъра ви. Три секунди по-късно атакуващият вече разполага с токените, необходими за превземане на вашия акаунт в Microsoft 365, без вие да сте направили нещо, което традиционното обучение за киберсигурност би класифицирало като опасно. Просто сте последвали набор от инструкции, изглеждащи напълно нормално.

Това е определящата характеристика на съвременната киберпрестъпност: тя не си проправя път със сила. Тя навлиза тихо в средата на ежедневния работен процес и превръща рутинно действие в момента, в който всичко се обърква.

Тези атаки работят поради навиците, които всички сме изградили онлайн – кликане върху CAPTCHA, приемане на бисквитки, натискане на клавишна комбинация за придвижване на даден процес. Точно на тази автоматична рефлексна реакция разчитат атакуващите.

Това е основният механизъм зад атаките тип ClickFix. На жертвите се показва фалшива подкана, която ги инструктира да натиснат последователност от клавишни комбинации, което поставя и изпълнява команди, предоставени от атакуващия, на собствената им машина. Няма уязвимост за експлоатиране, нито сблъсък със защитна стена. Просто убедителна лъжа, въведена в точния момент.

ClickFix отбеляза пик през 2025 г. и остава активна заплаха, но атакуващите вече са развили концепцията в нещо по-сложно.

Новият вариант, ConsentFix, пренасочва повърхността за атака към OAuth потоците за съгласие на Microsoft 365 – подканите за влизане, през които потребителите са свикнали да преминават бързо, без сериозна проверка.

Схемата е измамно изчистена. Пристига фишинг примамка, често доставена чрез доверени платформи като Dropbox или DocSend, понякога зад парола, което затруднява проверката от инструментите за сигурност.

Жертвата клика, сблъсква се с екран, който изглежда като стандартна форма за удостоверяване на Microsoft, и бива помолена да завърши процеса, като влачи localhost callback линк в браузъра.

Тази стъпка с влачене и пускане (drag-and-drop) е капанът. Вместо да завърши безобидна стъпка по удостоверяване, потребителят неволно предава OAuth токени, предоставяйки на атакуващия сесиен достъп до имейл и други услуги на Microsoft 365 без нужда от парола и заобикаляйки многофакторната автентификация (MFA).

Жертвата не въвежда идентификационни данни във фалшива форма. Тя завършва процес, който изглежда като легитимен поток за удостоверяване, и самата сесия бива открадната.

До началото на март 2026 г. подробно ръководство за ConsentFix бе публикувано в обществен руски форум за киберпрестъпност. То включва работещ код, екранни снимки на инфраструктурата и видео урок, показващ как точно да се изгради и разгърне атаката.

Инфраструктурата се основава на безплатни или широко достъпни услуги. Публикацията също така описва как атакуващите проучват целите преди изпращането на фишинг съобщения, използвайки LinkedIn и подобни инструменти, за да картографират организациите и да персонализират примамките спрямо реални служители.

Потребителската бдителност все още има роля. Тези атаки зависят от хора, движещи се по познати работни процеси, без да се замислят. Задаването на въпроса защо даден уебсайт иска от вас да натискате бързи клавиши или да влачите странен линк в браузъра често е достатъчно, за да прекъсне цялата схема.

Но само бдителността няма да затвори пролуката, тъй като тези атаки са проектирани да изглеждат рутинни. Защитниците се нуждаят и от покритие за откриване на следите, които те оставят: необичайна активност на PowerShell, произлизаща от нормални потребителски процеси, или нови влизания в сесии от неочаквани местоположения.

Мониторингът на крайните устройства и идентичността може да открие тези сигнали, преди кратката липса на преценка да ескалира в пълно компрометиране на акаунта.