Clickjacking: Was ist das und wie können Sie es vermeiden?

| Von

Clickjacking

Wenn es darum geht, wie Cyberpunks und Malware-Anbieter auf Ihr Computersystem gelangen, gibt es einige Punkte, über die viel gesprochen wird: Social Design, SQL-Shot, DDoS-Angriffe usw. Aber ein Angriff, über den nicht so viel geredet wird, ist genauso böse wie die anderen Clickjacking

Clickjacking ist schwer zu finden, kann nahezu jeden Einzelnen beeinflussen und ist auf eine Vielzahl von laufenden Systemen und Anwendungen verteilt. Im Folgenden erfahren Sie, was Sie über Clickjacking lernen müssen, einschließlich dessen, was es ist, wo Sie es sehen und wie Sie sich selbst davor schützen können.

Was ist Clickjacking?

Wie Sie vielleicht aus dem Namen erfahren haben, ist Clickjacking der Vorgang, bei dem eine Person auf einen Computer klickt (es kann ebenfalls verwendet werden, um Tastenanschläge zu raubkopieren, jedoch ist „Tastenanschlag“ viel schwieriger anzugeben). Es gibt eine Reihe von Möglichkeiten, wie dieses Verfahren durchgeführt werden kann, aber alle haben eines gleich: Ein Benutzer glaubt, auf einen Punkt zu klicken, obwohl er in Wahrheit auf etwas anderes klickt.

Zahlreiche Clickjacking-Streiks bestehen aus einer übersichtlichen Oberfläche, die über einer anderen Benutzeroberfläche positioniert ist, die der Benutzer erwartet (weshalb „UI-Korrektur“ ein zusätzlicher Name für diesen Ansatz ist). Wenn dieser Kunde dann glaubt, auf etwas zu klicken, klickt er wirklich auf etwas anderes, das er nicht sehen kann. Sie glauben vielleicht, dass Sie auf einen Weblink klicken, der Sie für einen coolen E-Newsletter anmeldet, wenn Sie wirklich auf eine Schaltfläche klicken, die beispielsweise einen Cyberkriminellen Zugriff auf Ihr E-Mail-Konto ermöglicht.

https://www.youtube.com/watch?v=3mk0RySeNsU

Eine weitere Angriffsart transformiert die tatsächliche Platzierung des Pfeils des Kunden, lässt jedoch die Anzeige unberührt, um sicherzustellen, dass sich der Cursor an einer Stelle befindet, sich jedoch tatsächlich an einer anderen befindet. Klingt so, als wäre es einfach eine große Unannehmlichkeit, aber es kann genutzt werden, um Einzelpersonen dazu zu bringen, auf Dinge zu klicken, die heikle Informationen verteilen.

Einige andere kreative Angriffe fallen ebenfalls unter das Dach des Clickjacking. Bei einem kürzlich erfolgten Streik wurde beispielsweise eine Malware verwendet, um die Suchanfragen der Kunden auf Bing, Google und Yahoo auf maßgeschneiderte (sowie irreführende) Ergebnisseiten mit zahlreichen Anzeigen mit Google AdSense umzuleiten. Kunden würden auf die Anzeigen klicken, vorausgesetzt, sie wären ein legitimes Suchmaschinenergebnis, und die Angreifer würden Geld verdienen.

Clickjack-Transparenz

Einige Leute schließen sogar Social-Engineering-Angriffe in Clickjacking ein. Im Jahr 2009 lief beispielsweise ein Tweet auf Twitter herum, auf dem „Don’t Click“ stand und der aus einem Link bestand. Immer wenn jemand auf den Weblink klickte, wurde derselbe Punkt sicherlich von seinem Konto getwittert. Vergleichbare Strategien wurden tatsächlich verwendet, um geldgenerierende Links auf Facebook zu verbreiten.

Clickjacking ist jedoch nicht nur auf Websites und Anwendungen beschränkt, in denen Kunden eine Computermaus haben. Dies kann zusätzlich auf Smartphones geschehen. Ein aktuelles Beispiel ist Android.Lockdroid.E, ein Element der Android-Ransomware, bei dem Clickjacking (oder „Touchjacking“, wenn Sie dies bevorzugen) verwendet wurde, um Administratorrechte für das Zieltool zu erhalten. Darüber hinaus sind wir erst kürzlich auf die Anfälligkeit für Barrierefreiheit beim Clickjacking auf Android-Mobiltelefonen und Tablet-Computern aufmerksam geworden.

Was Sie tun können, um Clickjacking zu verhindern

Es gibt jedoch nicht viel, was Sie tun können, um Clickjacking zu vermeiden, es sei denn, Sie sind Website-Administrator. Bei weitem eine der am häufigsten empfohlenen Methoden, um sich beim Surfen selbst zu schützen, ist die Verwendung von NoScript, dem Firefox-Add-On, das vor Manuskripten vor dem Verpacken schützt, ohne dass Sie eine bestimmte Genehmigung dazu haben. NoScript verfügt über einige spezifische Anti-Clickjacking-Attribute und ist auch sehr kompetent darin, die Arten von Manuskripten zu entdecken, die auf Internetseiten klare Überlagerungen erzeugen.

Noscript-Firefox

Ähnliche Erweiterungen, mit denen Sie verhindern können, dass Manuskripte oder Apps geladen werden, bieten sicherlich zusätzlichen Schutz.

Die effektivste Abwehr gegen Clickjacking muss jedoch von Site-Administratoren kommen. Die meisten Verteidigungen sind eher technisch, und wenn Sie genau herausfinden möchten, wie sie implementiert werden sollen, empfehlen wir Ihnen, einen Blick auf das Clickjacking Defense Cheat Sheet von OWASP zu werfen.

Eine der effektivsten Möglichkeiten, um Clickjacking auf Ihrer Website zu vermeiden, besteht darin, einen HTTP-Header mit X-Frame-Optionen einzuschließen, der verhindert, dass der Webinhalt Ihrer Website in einen Frame gefüllt wird (< framework> > tag) oder iframe (< iframe> > tag). Aufgrund der Tatsache, dass diese häufig als Streikvektoren verwendet werden – nicht nur für Clickjacking, sondern auch für verschiedene andere Gefahren – ist dies eine wirksame Methode zur Minderung der Bedrohung.

X-Frame-Optionen

Der Schutz vor Cross-Site-Scripting (XSS) trägt sicherlich ebenfalls dazu bei, die Wahrscheinlichkeit eines Clickjacking-Angriffs auf eine Website zu verringern. Da XSS zusätzlich für andere Angriffe verwendet wird, ist es eine gute Idee, es trotzdem abzuschirmen.

Um die Möglichkeit eines Clickjacking-Angriffs auf Ihr Mobilgerät zu verringern, möchten Sie sich möglicherweise darauf beschränken, nur Apps aus Quellen wie dem Apple App Store oder dem Google Play Store herunterzuladen. Dies ist zwar keine Garantie dafür, dass Sie keine Angriffe ausführen, aber diese Apps enthalten mit deutlich geringerer Wahrscheinlichkeit destruktiven Code als diejenigen, die Sie von einer Ressource eines Drittanbieters erhalten.

Sie können außerdem die Verwendung von In-App-Webbrowsern vermeiden, da dies ein üblicher Ort für Touchjacking-Angriffe ist. Legen Sie die Standardaktionen für das Öffnen von Links in Ihren Anwendungen fest, die im Systembrowser und nicht im In-App-Internetbrowser geöffnet werden sollen, und beseitigen Sie einen weiteren potenziellen Schwachpunkt in Ihrer Verteidigung.

Eine echte Bedrohung

Wie bereits in der Vergangenheit erwähnt, klingt Clickjacking eher nach einer Verschlechterung als nach einem tatsächlichen Risiko für Ihre Sicherheit. Wenn es jedoch effektiv genutzt wird, kann es Angreifern helfen, wichtige Informationen zu stehlen oder Zugriff auf Ihre Online-Konten zu erhalten, wo dies möglich ist großen Schaden anrichten.

Und während ein Großteil der Verteidigung hinter den Kulissen erfolgen muss, können Sie Skriptblockierungserweiterungen verwenden, um die meisten dieser Angriffe zu vermeiden – wenn Sie mit der Verwendung dieser Art von Add-Ons einverstanden sind, wie sie sind etwas umstritten.

Verstehen Sie Beispiele für groß angelegte Clickjacking-Streiks oder haben Sie unter diesen Angriffen gelitten? Verwenden Sie NoScript oder setzen Sie Schutzmaßnahmen auf Ihrer eigenen Internetseite ein? Teilen Sie Ihre unten aufgeführten Ideen mit!

Bildnachweis: Mozilla

Einige Leute bestehen auch aus Social-Engineering-Angriffen beim Clickjacking. Zum Beispiel ging 2009 ein Tweet über Twitter, der „Don’t Click“ behauptete und auch einen Weblink enthielt. Da diese häufig als Angriffsmethoden verwendet werden – nicht nur für Clickjacking, sondern auch für andere Gefahren – ist dies ein wirksamer Weg, um das Risiko zu verringern. Durch das Stoppen von Cross-Site-Scripting (XSS) werden auch die Chancen eines Clickjacking-Angriffs auf eine Site verringert. Um die Möglichkeit eines Clickjacking-Streiks auf Ihrem Mobilgerät zu verringern, möchten Sie sich möglicherweise darauf beschränken, nur Anwendungen aus Quellen wie dem Apple App Store oder dem Google Play Store herunterzuladen und zu installieren. Kennen Sie Beispiele für groß angelegte Clickjacking-Angriffe oder waren Sie das Ziel eines dieser Streiks?

Klicken Sie, um diesen Beitrag zu bewerten!
[Gesamt: 0 Durchschnitt: 0]

Andere verwandte Artikel

10 Möglichkeiten zum Schutz vor Doxxing

Doxxing ist die Technik, die Identifizierung eines Kunden herauszufinden und anschließend seine individuellen Informationen online zu stellen. In der Vergangenheit…

Die besten VPN-Dienste

Der Bedarf an sicheren, vertraulichen Verbindungen zum Internet hat in den letzten Jahren stark zugenommen, da immer mehr Kunden erkennen,…

Schreibe einen Kommentar