Clickjacking ist eine perfide Angriffsmethode, bei der Cyberkriminelle Webseiten mit unsichtbaren oder manipulierten Elementen überlagern, um Nutzer unbewusst zu unerwünschten Aktionen zu verleiten.
Trotz bekannter Schutzmechanismen entwickeln Angreifer stetig neue Varianten, um Sicherheitsvorkehrungen zu umgehen. Eine dieser neuartigen Techniken ist das sogenannte DoubleClickjacking, das sich die Zeitverzögerung bei Doppelklicks zunutze macht und so Schutzmechanismen umgeht.
Unser Beitrag über Clickjacking im Überblick:
Was ist Clickjacking?
Clickjacking ist eine alles andere als neue Cyberangriffstechnik, bei der Nutzer unwissentlich auf versteckte, bösartige Elemente klicken. Dabei glauben sie, sich auf einer vertrauenswürdigen Website zu befinden, während sie in Wirklichkeit eine gefälschte, manipulierte Version nutzen. Angreifer setzen dazu oft unsichtbare Overlays oder manipulierte Webseiten ein, um Nutzeraktionen auf eine andere, bösartige Seite umzuleiten.
Beim sogenannten Clickjacking handelt es sich um einen bösartigen Angriff auf legitime Webseiten, bei denen Kriminelle die Darstellung der Webseite mit einem eigenen, für den Nutzer oft nicht sichtbaren User-Interface (UI) überlagern. Ein vermeintlich harmloser Klick führt dadurch nicht wie beabsichtigt zur gewünschten Aktion, sondern kann beispielsweise Schadcode ausführen oder zur Eingabe von sensiblen Nutzerdaten verleiten. Diese Technik ist bereits seit mehreren Jahren bekannt und Browserhersteller haben verschiedene Schutzmechanismen implementiert, um solche Angriffe zu verhindern.
Ein klassisches Beispiel ist das Einbetten einer echten Webseite in einen unsichtbaren iFrame, der über eine bösartige Seite gelegt wird. Der Nutzer glaubt, er klickt auf eine Schaltfläche oder einen Link auf der vertrauenswürdigen Seite, aktiviert jedoch stattdessen eine Aktion auf der bösartigen Seite. Dies kann zu betrügerischen Transaktionen, Malware-Downloads oder Datendiebstahl führen.
Ein Doppelklick mit der Maus ist in Millisekunden schnell getan – kaum vorstellbar, dass Kriminelle die Zeit zwischen den beiden Klicks für ihren Angriff nutzen. Bild: Pexels/Maria Stewart
Neue Bedrohung: DoubleClickjacking
Obwohl bereits Schutzmechanismen gegen Clickjacking existieren, hat der Sicherheitsexperte Paulos Yibelo eine neue Form dieses Angriffs entdeckt: das sogenannte DoubleClickjacking. Diese Methode nutzt das Timing von Doppelklicks aus, um Sicherheitsvorkehrungen zu umgehen.
Der Angreifer erstellt eine Webseite mit einer scheinbar harmlosen Schaltfläche, beispielsweise mit einer Aufforderung wie „Hier klicken, um Ihre Belohnung zu sehen“ oder „Hier klicken, um den Film zu sehen“. Lässt sich der Nutzer darauf ein, wird ein weiteres Fenster eingeblendet, das die ursprüngliche Webseite überlagert und eine zweite Aufforderung enthält – etwa das Lösen eines CAPTCHAS.
Dieses CAPTCHA erfordert, dass der Nutzer auf eine Schaltfläche doppelt klickt, um fortzufahren. Dabei wartet die bösartige Seite auf das erste Mousedown-Ereignis und schließt das Overlay in dem Moment, in dem der erste Klick registriert wurde. Der zweite Klick landet dann auf einer darunterliegenden Autorisierungsschaltfläche oder einem Link auf der echten Webseite. Auf diese Weise kann ein Nutzer unwissentlich eine OAuth-Anwendung mit seinem Konto verbinden, eine Multi-Faktor-Authentifizierung bestätigen oder sogar eine schadhafte Browser-Erweiterung installieren.
Besondere Gefahr beim DoubleClickjacking
Das Gefährliche an DoubleClickjacking ist, dass es die gängigen Schutzmechanismen umgeht. Da keine iFrames verwendet werden und keine Cookies auf eine andere Domain übertragen werden, sondern stattdessen legitime Webseiten missbraucht werden, greift der Schutz nicht.
Laut Yibelo lässt sich DoubleClickjacking auf nahezu jeder Webseite einsetzen. Er demonstrierte diese Methode eindrucksvoll, indem er Konten auf populären Plattformen wie Shopify, Slack und Salesforce übernahm. Zudem warnt er davor, dass diese Technik nicht nur auf Webseiten, sondern auch zur Verbreitung von bösartigen Browser-Extensions genutzt werden könnte. Selbst Nutzer mobiler Geräte sind nicht sicher.
Jeder kann Opfer von Clickjacking werden – Sichern Sie sich mit unseren Tipps ab. Bild: stock.adobe.com/alfa27
Schutz vor Clickjacking
Unternehmen und Webseitenbetreiber können sich mit mehreren Sicherheitsmaßnahmen gegen Clickjacking-Angriffe schützen:
- Eine Content Security Policy (CSP) kann das Laden von Inhalten in iFrames einschränken.
- Die Verwendung der X-Frame-Options als HTTP-Header-Einstellung verhindert, dass eine Webseite innerhalb eines iFrames geladen wird.
- Framebuster-Scripts können eingesetzt werden, die erkennen, ob eine Seite in einem iFrame geladen wurde, und diese dann blockieren.
- Sichere Browser-Addons wie NoScript oder ScriptSafe helfen dabei, Clickjacking-Versuche zu erkennen und zu stoppen.
- Eine weitere wichtige Maßnahme ist die Schulung von Mitarbeitern, damit sie verdächtige Klicks oder ungewöhnliches Verhalten auf Webseiten frühzeitig bemerken.
Um sich speziell gegen DoubleClickjacking zu schützen, hat Yibelo ein JavaScript-Tool entwickelt, das Webseitenbetreiber implementieren können. Dieses Script deaktiviert interaktive Schaltflächen vorübergehend, bis eine Mausbewegung erkannt wird. Dadurch wird verhindert, dass ein ungewollter zweiter Klick nach dem Entfernen eines Overlays automatisch auf eine Berechtigungsschaltfläche trifft. Darüber hinaus schlägt Yibelo einen neuen HTTP-Header vor, der den schnellen Wechsel zwischen Fenstern während einer Doppelklick-Sequenz blockieren oder einschränken könnte.
IT-Sicherheit? PC-SPEZIALIST hilft!
Clickjacking ist eine ernstzunehmende Bedrohung, die mit geschickter Manipulation Nutzer zu unerwünschten Aktionen verleitet. Jeder Internetuser ist ein potenzielles Opfer. Neue Varianten wie das DoubleClickjacking zeigen, dass Angreifer immer nach neuen Wegen suchen, Sicherheitsmaßnahmen zu umgehen.
Unternehmen sollten daher proaktive Schutzmaßnahmen ergreifen, um ihre Webseiten und Nutzer zu sichern. Dabei geht es nicht nur um klassische IT-Sicherheitsmaßnahmen wie Antivirenschutz, Firewall und Backup-Lösungen. Auch Ihre Mitarbeiter sollten Sie nicht vernachlässigen und sie durch Awareness-Schulungen regelmäßig sensibilisieren.
Die IT-Dienstleister von PC-SPEZIALIST sind für Sie da, wenn Sie die aktuelle Ist-Situation Ihrer IT überprüfen lassen möchten oder einen kompetenten Experten für Sicherheitsschulungen benötigen. Nehmen Sie gern Kontakt zu uns auf.
_______________________________________________
Quellen: fortinet, it-daily, Pexels/Vojtech Okenka (Headerbild)
Schreiben Sie einen Kommentar