Im Rahmen des Clickjackings verleitet ein Cyberkrimineller einen Benutzer dazu, auf ein unsichtbares Element auf einer Webseite zu klicken. Damit „hijackt“ er die Klicks des Benutzers für böswillige Zwecke.
Dazu platzieren Angreifer eine durchsichtige Ebene über einer legitimen Seite, die beim Anklicken eine böswillige Aktion auslöst, welche im Hintergrund ausgeführt wird. Das Schlimmste daran? Du bekommst gar nicht mit, dass überhaupt etwas passiert.
Clickjacking, auch bekannt als UI Redressing, wurde in der Vergangenheit bereits für folgende Zwecke genutzt:
- zum Stehlen von Passwörtern
- zur Manipulation von Facebook-Likes
- zur Verbreitung von Betrugsmaschen und Malware im Internet, indem Menschen hinterlistig dazu gebracht werden, auf bösartige Download-Links zu klicken
- zur Überlistung von Menschen dazu, ihre Webcams oder Mikrofone zu aktivieren
Inhalt
So funktioniert es
Für einen erfolgreichen Angriff muss ein bestimmtes Webseitenelement wie ein Link, eine Schaltfläche oder ein Header gezielt zweckentfremdet werden. Um eine größtmögliche Wirkung zu erreichen, zielen Angreifer auf die Bereiche einer Website ab, auf welche die Benutzer mit der größten Wahrscheinlichkeit klicken.
Im Allgemeinen werden HTTP-Seiten oft zu einem Schlachtfeld für Clickjacking-Angriffe, da sie nicht über die Sicherheitsebene verfügen, die HTTPS-Seiten bereitstellen.
Clickjacking-Beispiel 1: Dein Geld wird gestohlen
Ein Angreifer verwendet mehrere Ebenen, um dich hinterlistig dazu zu bringen, dein Geld auf sein Bankkonto zu überweisen.
Als Köder präsentiert der Hacker eine attraktive Seite, auf der dir eine kostenlose Reise nach Bali versprochen wird, wenn du auf die Schaltfläche „Meine kostenlose Reise buchen“ klickst.
In der Zwischenzeit überprüft der Hacker, ob du auf der Website deiner Bank angemeldet bist. Wenn dies der Fall ist, wird eine unsichtbare Banküberweisungsseite hinter der Seite mit der kostenlosen Reise geladen. Der Hacker fügt dann seine Bankdaten in das Formular ein.
Die Schaltfläche „Überweisung bestätigen“ wird genau über der Schaltfläche „Meine kostenlose Reise buchen“ angezeigt und ist exakt an dieser ausgerichtet.
Wenn du nun auf die Schaltfläche „Meine kostenlose Reise buchen“ klickst (bei der es sich eigentlich um die unsichtbare Schaltfläche „Überweisung bestätigen“ handelt), überweist du unwissentlich Geld direkt auf das Konto des Hackers.
Du wirst zu einer Dummy-Seite zu deiner vermeintlichen „kostenlosen Reise“ weitergeleitet, ohne dass du mitbekommst, was gerade im Hintergrund passiert ist.
Clickjacking-Beispiel 2: Facebook-Likes werden manipuliert
Ein Angreifer verleitet dich hinterlistig dazu, eine Facebook-Seite zu liken, ohne dass du es mitbekommst. So erhält die betreffende Facebook-Seite viele Tausend echte Follower.
Der Angreifer erstellt eine Dummy-Website mit einer Schaltfläche, auf der steht: „Hier klicken, um zu Google zurückzukehren.“
Über dieser Seite wird eine unsichtbare Seite angezeigt, deren Facebook-„Gefällt-mir“-Schaltfläche sich genau über der Schaltfläche „Hier klicken, um zu Google zurückzukehren“ befindet und exakt an dieser ausgerichtet ist.
Du versucht zwar, auf die Schaltfläche „Hier klicken, um zu Google zurückzukehren“ zu klicken, klickst dabei jedoch stattdessen auf die unsichtbare Facebook-„Gefällt-mir“-Schaltfläche des Angreifers.
Clickjacking-Beispiel 3: Deine Anmeldeinformationen werden gestohlen
Der Hacker findet deinen Benutzernamen und dein Passwort heraus, indem er ein gefälschtes Anmeldefeld über ein echtes Feld legt.
Der Angreifer positioniert eine durchsichtige Ebene über der legitimen Website, sodass sich beide Textfelder überlappen.
Du kannst dann den Unterschied zwischen dem Textfeld, das du siehst, und dem identischen Textfeld, das der Angreifer zweckentfremdet hat, nicht mehr erkennen.
Zur Freude des Hackers gibst du dein Passwort direkt in das unsichtbare Textfeld ein, welches das echte Textfeld überlappt. Doch alles, was du eingibst, wird ausgeblendet, sodass die meisten Menschen wissen, dass etwas faul ist, wenn sie sehen, dass bei ihrer Eingabe keine Zeichen auf dem Bildschirm erscheinen.
Aber wie viele von uns geben im Alltag ihre Passwörter sehr schnell ein und drücken dann auf die Eingabetaste, ohne überhaupt von der Tastatur aufzuschauen? Genau auf solche überhasteten Momente verlassen sich die Angreifer, wenn sie deine Anmeldeinformationen stehlen wollen.
Worin besteht der Unterschied zwischen Clickjacking und Phishing?
Ein Phishing-Betrug funktioniert ein wenig anders als Clickjacking, da hierbei eine direkte Kommunikation mit dem Opfer stattfinden muss. In der Regel sendet ein Angreifer eine gefälschte E-Mail, mit der ein legitimes Unternehmen imitiert wird, um die Menschen hinterlistig dazu zu verleiten, darauf zu antworten und dabei ihre personenbezogenen Daten preiszugeben.
In anderen Fällen enthält die E-Mail böswillige Links zu falschen Websites, oder es öffnet sich ein Popup-Fenster, in dem eine legitime Website vorgespiegelt wird. Tatsächlich werden jedoch allein deine Daten gestohlen.
Schadensminderung
Die meisten Browser können ihre Nutzer mit der Same-Origin-Policy vor Clickjacking schützen. Dabei erlaubt ein Browser Skripten auf einer Webseite nur dann den Zugriff auf Daten auf einer zweiten Seite, wenn beide Seiten den gleichen Ursprung haben. Der Browser überprüft den Ursprung der Seiten, indem er ihre URI-SCHEMATA, Hostnamen und Portnummern vergleicht – alle müssen übereinstimmen.
Um zu verhindern, dass Clickjacker versuchen werden, auch deine sensiblen Informationen zu stehlen, ist ein Passwort-Manager eine hervorragende Grundlage. NordPass erkennt beispielsweise unsichere Websites (z. B. HTTP-Seiten – jene Websites, die typischerweise für Clickjacking-Angriffe verwendet wird) und benachrichtigt die Benutzer mit einem Hinweis, dass sie gerade auf eine ungeschützte Website zugreifen.
Täglich entstehen neue Betrugsmaschen, mit denen deine Sicherheitsmaßnahmen umgangen werden sollen. Wenn du HTTP-Seiten grundsätzlich meidest, kannst du einer Vielzahl von Cyberattacken, nicht nur Clickjacking, entgehen. Praktischerweise benachrichtigt dich NordPass über unsichere Websites und speichert noch dazu deine sensiblen Daten sicher ab.