Im Rahmen des Clickjackings verleitet ein Cyberkrimineller einen Benutzer dazu, auf ein unsichtbares Element auf einer Website zu klicken. Damit „hijackt“ er die Klicks des Benutzers für böswillige Zwecke.
Inhalt:
Dazu platzieren Angreifer eine durchsichtige Ebene über einer legitimen Seite, die beim Anklicken eine böswillige Aktion auslöst, welche im Hintergrund ausgeführt wird. Das Schlimmste daran? Sie bekommen gar nicht mit, dass überhaupt etwas passiert.
Clickjacking, auch bekannt als UI Redressing, wurde in der Vergangenheit bereits für folgende Zwecke genutzt:
zum Stehlen von Passwörtern
zur Manipulation von Facebook-Likes
zur Verbreitung von Betrugsmaschen und Malware im Internet, indem Menschen hinterlistig dazu gebracht werden, auf bösartige Download-Links zu klicken
zur Überlistung von Menschen dazu, ihre Webcams oder Mikrofone zu aktivieren
So funktioniert es
Für einen erfolgreichen Angriff muss ein bestimmtes Website-Element wie ein Link, eine Schaltfläche oder ein Header gezielt zweckentfremdet werden. Um eine größtmögliche Wirkung zu erreichen, zielen Angreifer auf die Bereiche einer Website ab, auf welche die Benutzer mit der größten Wahrscheinlichkeit klicken.
Im Allgemeinen werden HTTP-Seiten oft zu einem Schlachtfeld für Clickjacking-Angriffe, da sie nicht über die Sicherheitsebene verfügen, die HTTPS-Seiten bereitstellen.
Clickjacking-Beispiel 1: Ihr Geld wird gestohlen
Ein Angreifer verwendet mehrere Ebenen, um Sie hinterlistig dazu zu bringen, Ihr Geld auf sein Bankkonto zu überweisen.
Als Köder präsentiert der Hacker eine attraktive Seite, auf der Ihnen eine kostenlose Reise nach Bali versprochen wird, wenn Sie auf die Schaltfläche „Meine kostenlose Reise buchen“ klicken.
In der Zwischenzeit überprüft der Hacker, ob Sie auf der Website Ihrer Bank angemeldet sind. Wenn dies der Fall ist, wird eine unsichtbare Banküberweisungsseite hinter der Seite mit der kostenlosen Reise geladen. Der Hacker fügt dann seine Bankdaten in das Formular ein.
Die Schaltfläche „Überweisung bestätigen“ wird genau über der Schaltfläche „Meine kostenlose Reise buchen“ angezeigt und ist exakt an dieser ausgerichtet.
Wenn Sie nun auf die Schaltfläche „Meine kostenlose Reise buchen“ klicken (bei der es sich eigentlich um die unsichtbare Schaltfläche „Überweisung bestätigen“ handelt), überweisen Sie unwissentlich Geld direkt auf das Konto des Hackers.
Sie werden zu einer Dummy-Seite zu Ihrer vermeintlichen „kostenlosen Reise“ weitergeleitet, ohne dass Sie mitbekommen, was gerade im Hintergrund passiert ist.
Clickjacking-Beispiel 2: Facebook-Likes werden manipuliert
Ein Angreifer verleitet Sie hinterlistig dazu, eine Facebook-Seite zu liken, ohne dass Sie es mitbekommen. So erhält die betreffende Facebook-Seite viele Tausend echte Follower.
Der Angreifer erstellt eine Dummy-Website mit einer Schaltfläche, auf der steht: „Hier klicken, um zu Google zurückzukehren.“
Über dieser Seite wird eine unsichtbare Seite angezeigt, deren Facebook-„Gefällt-mir“-Schaltfläche sich genau über der Schaltfläche „Hier klicken, um zu Google zurückzukehren.“ befindet und exakt an dieser ausgerichtet ist.
Sie versuchen zwar, auf die Schaltfläche „Hier klicken, um zu Google zurückzukehren.“ zu klicken, klicken dabei jedoch stattdessen auf die unsichtbare Facebook-„Gefällt-mir“-Schaltfläche des Angreifers.
Clickjacking-Beispiel 3: Ihre Anmeldeinformationen werden gestohlen
Der Hacker findet Ihren Benutzernamen und Ihr Passwort heraus, indem er ein gefälschtes Anmeldefeld über ein echtes Feld legt.
Der Angreifer positioniert eine durchsichtige Ebene über der legitimen Website, sodass sich beide Textfelder überlappen.
Sie können dann den Unterschied zwischen dem Textfeld, das Sie sehen, und dem identischen Textfeld, das der Angreifer zweckentfremdet hat, nicht mehr erkennen.
Zur Freude des Hackers geben Sie Ihr Passwort direkt in das unsichtbare Textfeld ein, welches das echte Textfeld überlappt. Doch alles, was Sie eingeben, wird ausgeblendet, sodass die meisten Menschen wissen, dass etwas faul ist, wenn sie sehen, dass bei ihrer Eingabe keine Zeichen auf dem Bildschirm erscheinen.
Aber wie viele von uns geben im Alltag ihre Passwörter sehr schnell ein und drücken dann auf die Eingabetaste, ohne überhaupt von der Tastatur aufzuschauen? Genau auf solche überhasteten Momente verlassen sich die Angreifer, wenn sie Ihre Anmeldeinformationen stehlen wollen.
Worin besteht der Unterschied zwischen Clickjacking und Phishing?
Ein Phishing-Betrug funktioniert ein wenig anders als Clickjacking, da hierbei eine direkte Kommunikation mit dem Opfer stattfinden muss. In der Regel sendet ein Angreifer eine gefälschte E-Mail, mit der ein legitimes Unternehmen imitiert wird, um die Menschen hinterlistig dazu zu verleiten, darauf zu antworten und dabei ihre personenbezogenen Daten preiszugeben.
In anderen Fällen enthält die E-Mail böswillige Links zu falschen Websites, oder es öffnet sich ein Popup-Fenster, in dem eine legitime Website vorgespiegelt wird. Tatsächlich werden jedoch allein Ihre Daten gestohlen.
Schadensminderung
Die meisten Browser können ihre Nutzer mit der Same-Origin-Policy vor Clickjacking schützen. Dabei erlaubt ein Browser Skripten auf einer Website nur dann den Zugriff auf Daten auf einer zweiten Seite, wenn beide Seiten den gleichen Ursprung haben. Der Browser überprüft den Ursprung der Seiten, indem er ihre URI-Schemata, Hostnamen und Portnummern vergleicht – alle müssen übereinstimmen.
Um zu verhindern, dass Clickjacker versuchen werden, auch Ihre sensiblen Informationen zu stehlen, ist ein Passwort-Manager eine hervorragende Grundlage. NordPass erkennt beispielsweise unsichere Websites (z. B. HTTP-Seiten – jene Websites, die typischerweise für Clickjacking-Angriffe verwendet werden) und benachrichtigt die Benutzer mit einem Hinweis, dass sie gerade auf eine ungeschützte Website zugreifen.
Täglich entstehen neue Betrugsmaschen, mit denen Ihre Sicherheitsmaßnahmen umgangen werden sollen. Wenn Sie HTTP-Seiten grundsätzlich meiden, können Sie einer Vielzahl von Cyberattacken, nicht nur Clickjacking, entgehen. Praktischerweise benachrichtigt Sie NordPass über unsichere Websites und speichert noch dazu Ihre sensiblen Daten sicher ab.