Clickjacking


Clickjacking oder auch UI Redressing gehört zur Kategorie Klickbetrug und ist eine von kriminellen Hackern angewandte Methode, um User unwissentlich bestimmte Aktionen durch Anklicken von Buttons oder Links ausführen zu lassen. Ziele des Clickjacking sind u.a. die Kontrolle über fremde PCs sowie das Umleiten von Nutzern auf Bezahlinhalte oder betrügerische Websites. Viele große Webportale wie Facebook treffen heute Maßnahmen gegen Clickjacking.

Hintergrund

Wenn eine Internetseite im Browser angezeigt wird, ist dies das Ergebnis eines Dateiabrufs vom Server. Je nach Umfang des Webangebots werden dann zugleich noch weitere Scripte wie JavaScript-Anwendungen oder auch Frames geladen. Auf diese Weise kann zum einen die Funktionalität der Website erhöht werden, zum anderen bieten diese Anwendungen ideale Einfallstore für Klickbetrüger. Mit Hilfe von Clickjacking werden dem User Inhalte gezeigt, die er anklicken kann. Beim Auslösen des Klicks werden jedoch nicht die im Vordergrund gezeigten Handlungen, sondern im Hintergrund wird die vom Hacker beabsichtigte Funktion ausgeführt.

Clickjacking.png

Mögliche Angriffsvarianten

Clickjacking kann von Hackern auf verschiedene Weise umgesetzt werden. Meist wird dabei die Funktionalität von JavaScript-Anwendungen missbraucht:

Browserspiele

Hier klicken die Nutzer im Vordergrund auf Spielelemente, verändern tatsächlich Konfigurationen des Computer oder Browsers und bieten somit weitere Angriffsmöglichkeiten für Betrüger.

Download-Buttons

Damit ködern Internetbetrüger den User, um einen Klick auszulösen, der im Hintergrund Schadprogramme lädt.

Jede zu aktivierende Schaltfläche

Mit Hilfe von Frames lässt sich prinzipiell jede Schaltfläche auf einer Website so manipulieren, dass die von Hackern gewünschten Aktionen unwissentlich vom User ausgeführt werden.

Ziele von Clickjacking-Angriffen

  • Ausspähen von Usern
  • Stehlen von sensiblen Daten wie Passwörtern oder Kontodaten
  • Umleiten von Usern auf Websites mit schädlichen Inhalten
  • Abschluss von Bezahlabonnements

Mögliche Abwehr

Gängige Browser verfügen über zahlreiche Möglichkeiten, um Clickjacking zu entlarven. Ebenso können Virenschutzprogramme mit integriertem Browserschutz mögliche Attacken abwehren. Auch das Blog-CMS WordPress bietet seit 2011 Schutz vor UI Redressing.[1] Dabei wird meist vor dem Laden der Seite geprüft, ob diese mit Frames arbeiten darf oder nicht. Ebenso kann es sinnvoll sein, JavaScript nicht für alle Websites automatisch zuzulassen.

Facebook und Clickjacking

Auch Soziale Netzwerke sind von der Clickjacking-Problematik betroffen. In diesem Fall wir die Clickjacking-Technik genutzt, um Besucher, die auf einen Link klicken, automatisch zu Facebook-Fans einer Facebook Page zu machen. Das Netzwerk hat auf diesen Trend jedoch sehr schnell reagiert und geht seit 2012 gerichtlich gegen Clickjacking vor, das dem Zweck dient, betrügerisch Facebook-Fans zu sammeln.

Einzelnachweise

  1. WordPress 3.1.4 gets Clickjacking Protection internetnews.com Abgerufen am 02.03.2014

Weblinks