O que é ClickFix (a falsa verificação que instala o golpe)?
ClickFix é uma técnica de engenharia social em que uma página falsa exibe um erro ou uma verificação (por exemplo, uma falsa confirmação de “não sou um robô”) e induz a vítima a copiar um texto e executá-lo no próprio computador, apertando Win+R, colando e pressionando Enter. Nesse gesto, ela roda sem saber um comando do criminoso, que instala a ameaça. É a própria vítima quem abre a porta, e por isso o antivírus tradicional quase não vê o golpe.
Como o golpe do ClickFix acontece
O ClickFix inverte a lógica do ataque: em vez de burlar as defesas da máquina, ele convence a pessoa a executar o comando com as próprias mãos. O passo a passo é quase sempre o mesmo.
A isca
A vítima chega a uma página comprometida ou falsa, muitas vezes por um link de phishing ou um resultado de busca, e vê um aviso convincente: uma verificação de “não sou um robô”, um erro de documento ou uma falsa atualização do navegador.
A instrução
A tela pede um passo “simples para resolver”: apertar Win+R, colar e dar Enter, no Windows, ou abrir o Terminal, no Mac e no Linux. Tudo parece uma correção técnica de rotina.
A cópia invisível
Ao clicar no botão de “verificar” ou “corrigir”, a página copia em silêncio um comando escondido para a área de transferência. A vítima acredita que não copiou nada.
A execução pela própria vítima
Ao colar e apertar Enter, é o comando do criminoso que roda. Ele baixa e instala a carga real: um ladrão de dados, um ransomware ou um programa de acesso remoto.
Fonte: relatórios de ameaças de 2025 que documentaram a técnica e sua expansão (ESET Threat Report do 1º semestre de 2025) e a inteligência de ameaças da Microsoft (2025).
Como reconhecer um ClickFix
- Qualquer página que peça para você apertar Win+R, abrir o Terminal ou colar um comando é um alerta imediato. Nenhuma verificação, atualização ou CAPTCHA legítimo precisa disso.
- Uma confirmação de “não sou um robô” que termina pedindo para “colar” algo, e não apenas marcar uma caixa ou clicar em imagens.
- Um falso erro de documento, de reunião on-line ou de navegador que oferece a “solução” em poucos cliques, sempre com pressa.
- Instruções técnicas passadas a quem não é técnico, com um tom de urgência (“faça agora para não perder o acesso”).
- Um passo que menciona “PowerShell”, “cmd” ou um texto longo e embaralhado que você não entende.
Por que o ClickFix explodiu
O ClickFix cresceu tão rápido porque resolve o maior obstáculo do criminoso: as defesas técnicas. O antivírus e o filtro de e-mail vigiam anexos e arquivos baixados; aqui não há anexo, é a própria pessoa quem digita o comando, e o sistema entende aquilo como uma ação legítima do usuário. No 1º semestre de 2025, os ataques ClickFix aumentaram 517% e a técnica virou o segundo vetor mais comum, atrás só do phishing (ESET, 2025). Funciona em Windows, Mac e Linux, e entrega de tudo: ladrões de dados, ransomware e programas de acesso remoto. A escala também impressiona: uma única campanha comprometeu mais de 250 sites legítimos em mais de 12 países para exibir a falsa verificação (Rapid7, 2025). Com uma violação custando, em média, $ 4,44 milhões (IBM, 2025), um clique convincente sai caro.
Como proteger a empresa do ClickFix
O ClickFix ataca o comportamento, não a máquina. A defesa combina uma regra clara para as pessoas com camadas técnicas que seguram o que passar.
- Ensine uma regra de ouroNenhum site, verificação ou atualização legítima pede para apertar Win+R, abrir o Terminal ou colar um comando. Essa única frase, sabida por toda a equipe, corta a maioria dos ataques.
- Treine com simulaçõesA conscientização recorrente, com testes práticos, ensina o time a reconhecer a isca antes de agir. É a defesa mais barata e a que mais rende.
- Tenha defesa por comportamento nos dispositivosA defesa avançada de endpoint observa o que foi executado e interrompe o comando malicioso mesmo quando foi o próprio usuário quem o rodou.
- Reduza o poder de execuçãoLimitar quem pode rodar comandos e programas (menor privilégio) e restringir ferramentas como o PowerShell no dia a dia diminui o estrago de um clique errado.
- Corte a origem e o destinoA segurança de e-mail e a filtragem de DNS bloqueiam a página falsa que exibe a isca e o domínio de onde a carga seria baixada, antes que o comando chegue a rodar.
Na prática
No ClickFix, a vítima digita o próprio ataque. Por isso a defesa mais forte não é um software, é uma frase que todo funcionário deve saber de cor: site nenhum pede para colar comando.
Como a Zamak trata o ClickFix
A Zamak Technologies trata o ClickFix como o que ele é, um golpe que mira as pessoas, e responde em duas frentes ao lado da sua equipe: a conscientização contínua, para que ninguém caia na falsa verificação, e a defesa avançada de endpoint monitorada, que interrompe o comando quando alguém clica mesmo assim. Um bom ponto de partida é o teste de phishing, que mede em minutos como o seu time reage a uma isca real. Faz parte da Cibersegurança do Método Zamak.