Haben Sie schon einmal auf einen harmlos aussehenden Button geklickt, nur um dann unerwartet weitergeleitet zu werden? Oder haben Sie auf „Play“ gedrückt und stattdessen versehentlich auf „Gefällt mir“ geklickt? Willkommen beim Clickjacking – eine Welt voller Täuschungen und Illusionen, in der Cyber-Manipulationen das verfälschen, was Ihnen auf dem Bildschirm angezeigt wird. Abgesehen davon, dass es ärgerlich ist, kann es gravierende Auswirkungen haben: von der Übernahme Ihrer Social-Media-Konten bis zum Diebstahl persönlicher Daten. Wie funktioniert Clickjacking und wie lässt es sich verhindern? Erfahren Sie mehr darüber und schützen Sie Ihr Leben im Netz mit Datenschutz- und Sicherheitstools von Avira Free Security.
Was ist Clickjacking?
Vergleichbar mit einer Entführung werden Ihre Online-Klicks „gestohlen“, allerdings ohne Sturmhauben (oder Flugzeuge und Autos). Der Begriff „Clickjacking“ ist ein Kofferwort aus „Click“ und „Hijacking“, was genau das beschreibt, was passiert: Ein Cyberkrimineller übernimmt die Kontrolle über Ihre Klicks und nutzt sie, um gezielte Aktionen zu seinem Vorteil auszuführen. Es ist also ein heimtückischer Cyberangriff, der eine täuschende oder unsichtbare Oberfläche nutzt, um Benutzer dazu zu verleiten, versehentlich auf etwas zu klicken, was sie nicht beabsichtigt hatten. Es gibt verschiedene Arten von Clickjacking-Angriffen, die unter leicht abweichenden Bezeichnungen bekannt sind, beispielsweise als „User Interface (UI) Redressing“ oder „UI Redress-Angriffe“.
Egal wie Clickjacking genannt wird, es handelt sich stets um eine digitale optische Täuschung. Sie denken, Sie klicken auf eine harmlose Schaltfläche oder einen harmlosen Link – vielleicht, um sich ein lustiges Katzenvideo anzusehen oder sich einen tollen Rabatt auf ein Paar Laufschuhe zu sichern – tatsächlich aber aktivieren Sie gerade etwas, das darunter verborgen war. Es könnte sich um Folgendes handeln:
- Versehentliches Liken oder Teilen eines Posts
- Einschalten einer Webcam oder eines Mikrofons ohne Ihre Zustimmung
- Online-Einkauf oder -Geldüberweisung
- Ändern der Kontoeinstellungen
- Weitergabe Ihrer Anmeldedaten oder anderer sensibler Informationen
- Besuch dubioser Webseiten oder das Herunterladen von Malware, die im Hintergrund ausgeführt wird.
Da auf Ihrem Bildschirm alles normal erscheint, werden Sie möglicherweise nie erfahren, was hier vor sich geht – bis es auf einmal zu spät ist.
Wie funktioniert Clickjacking?
Clickjacking bedient sich eines simplen Tricks: Überlagerung einer versteckten, transparenten Webseite über eine andere Webseite, um zu verschleiern, was Ihr Klick tatsächlich bewirkt. Dies wird als Overlay-Angriff bezeichnet. Der gefälschte Layer hat seinen eigenen JavaScript- Code und UI-Elemente, sodass er eigenständig funktionieren und die Kontrolle übernehmen kann. Es gleicht einem stillen, tückischen Putsch. Ahnungslose Benutzer navigieren auf der Webseite und erwarten, dass alles normal funktioniert, während im Hintergrund stattdessen das Skript des Angreifers läuft!
Angreifer nutzen HTML-Frames oder Inline-Frames (iFrames), um ihren Betrug durchzuführen. Ein iframe (Inline Frame) ist ein Rahmen innerhalb eines Rahmens, der es ermöglicht, Inhalte von anderen Quellen in eine Webseite einzubinden. Wenn Sie beispielsweise eine Website mit einem heimlich eingebetteten YouTube-Video besuchen, befindet sich dieses Video innerhalb eines iframes.
Cyberkriminelle verwenden unterschiedliche Methoden für Clickjacking, aber hier ist die typische Anatomie eines solchen Angriffs:
Schritt 1: Sie erstellen eine manipulierte Webseite. Es könnte sich dabei um alles Mögliche handeln – von einer gefälschten Gewinnspielseite bis zu einem arglos wirkenden Nachrichtenartikel. Der unsichtbare iframe wird sorgfältig positioniert, sodass seine Dummy-Schaltfläche direkt über der echten Schaltfläche (oder einem Malware-Download) platziert ist. Hacker nutzen verschiedene Methoden, um Webseiten nach ihren Wünschen zu manipulieren. Cross-Site-Scripting (XSS) kann zur Manipulation von Online-Formularen, Webseiten und sogar Servern verwendet werden.
Schritt 2: Sie locken ihre Opfer auf die nachgebaute Webseite. Sobald die Falle gestellt ist, verwenden die Angreifer häufig Social Engineering-Methoden wie gefälschte E-Mails, WhatsApp-Betrug und Telefonbetrug, um ihre Opfer anzulocken. Sie täuschen den Opfern beispielsweise vor, dass diese ein iPhone gewonnen haben oder dass sie sich umgehend in ihr Bankkonto einloggen müssen, um ein Sicherheitsproblem zu beheben.
Schritt 3: Das Opfer führt die gewünschte Handlung durch. Jetzt kommt der Zeitpunkt, an dem der unwissende Website-Besucher seinen Part als Marionette zu Ende spielen muss. Sie könnten zum Beispiel auf einen Link klicken, den der Hacker platziert hat, oder ihre persönlichen Daten eingeben. Sie gehen davon aus, mit dem zu interagieren, was Sie auf dem Bildschirm sehen, aber ihre Klicks und Eingaben werden in Wirklichkeit an anderer Stelle ausgeführt.
Clickjacking oder Cursorjacking? Worin liegt der Unterschied?
Möglicherweise haben Sie auch schon von Cursorjacking gehört. Im Folgenden erläutern wir kurz, worin der Unterschied zu anderen Clickjacking-Varianten besteht. Cursorjacking ist eine Art von Clickjacking-Angriff und gehört somit zur gleichen fragwürdigen Familie, geschieht jedoch, wenn ein zwielichtiger Akteur (beispielsweise ein Hacker) den echten Mauszeiger durch eine Fälschung ersetzt. Das Opfer sieht seinen Cursor an einer Stelle, während er tatsächlich auf etwas völlig anderes verweist, was dazu führt, dass es unbeabsichtigt genau dort klickt, wo der Hacker es vorgesehen hat (typischerweise auf einen bösartigen Link oder einen mit Schadsoftware verseuchten Anhang).
Zu welchen Zwecken wird Clickjacking eingesetzt?
Benutzeroberflächen lassen sich mit verschiedenen Arten von Links und unsichtbaren Ebenen verschleiern, was kreativen Cyber-Angreifern zahlreiche Möglichkeiten bietet. Was wollen sie also damit erreichen? Wie Sie inzwischen festgestellt haben dürften, geht es in der Regel um Diebstahl – nämlich um Ihr Geld oder Ihre Daten.
- Diebstahl von Zugangsdaten: Sie denken, Sie geben Ihr Passwort auf einer vertrauenswürdigen Website ein, aber in Wirklichkeit wird es an einen Hacker gesendet.
- Immer häufigere Social-Media-Betrugsmaschen: Betrüger verleiten Sie dazu, Beiträge oder Phishing-Links zu liken oder zu teilen, damit diese sich viral verbreiten und den Angreifern mehr Aufrufe und Interaktionen verschaffen.
- Erhöhung der Reichweite in den sozialen Medien: Wenn Sie unbeabsichtigt einen Beitrag liken oder teilen oder einem Konto folgen, steigern Sie dessen Beliebtheit und verleihen sowohl dem Konto als auch den Produkten, für die es möglicherweise wirbt, mehr Glaubwürdigkeit. Werden Sie nicht zum Spielball in der Marketingkampagne anderer! Wenn der Facebook „Gefällt-mir“-Button manipuliert wird, spricht man von „Likejacking“.
- Benutzer zum Kauf verleiten: Sie denken vielleicht, dass Sie auf „Mehr anzeigen“ klicken, aber in Wirklichkeit könnten Sie eine echte Transaktionen abschließen, wie den Kauf des dubiosen Produkts, das gerade beworben wird.
- Aktivieren einer Webcam/eines Mikrofons: In einigen Fällen nutzen Angreifer Clickjacking, um sich Zugriff auf die Kamera oder das Mikrofon Ihres Geräts zu verschaffen (Audiojacking). Sie können dann Meetings aufzeichnen, mehr über Sie, Ihr Unternehmen und Ihre Kunden herausfinden oder Sie sogar erpressen.
- Herunterladen von Malware: Ein Klick auf einen getarnten Button könnte bedeuten, dass Sie dem Download von Malware zustimmen (wie Adware oder sogar Ransomware), die dann unbemerkt auf Ihrem Gerät installiert wird.
- Zugriff auf Dateien auf der Festplatte des Opfers: Willkommen beim Filejacking. Angreifer nutzen Ihren Webbrowser als Einfallstor, um sich auf Ihrem Computer zu bewegen und persönliche Daten zu stehlen.
- Browser-Cookies löschen: Diese digitalen Überbleibsel Ihrer Browserchronik können Hackern helfen, sich unbefugt Zugang zu Ihren Online-Konten zu verschaffen, was ihnen ermöglicht, Einkäufe zu machen oder sogar Ihre Identität zu stehlen. Es empfiehlt sich daher, Cookies zu löschen, um Cookiejacking vorzubeugen.
- Standortinformationen preisgeben: Auf der Basis Ihrer IP-Adresse kann ein Hacker oft Ihren ungefähren Standort ermitteln. Möglicherweise installieren sie auch eine Spyware oder andere Schadsoftware, um mehr Informationen zu gewinnen. Anhand Ihrer Standortdaten können sie Sie gezielt mit personalisierten Betrugsversuchen angreifen, Identitätsdiebstahl begehen, Ihre Bewegungen nachverfolgen, Ihre Wohnadresse herausfinden und Sie sogar stalken.
Woran lässt sich erkennen, dass man eventuell Ziel eines Clickjacking-Angriffs wurde?
Obwohl Clickjacking-Manipulationen darauf ausgelegt sind, unsichtbar zu bleiben, gibt es dennoch einige Warnsignale, auf die man achten sollte. Hier finden Sie einen kurzen Fragenkatalog, der Ihnen hilft, potenzielle Angriffe zu durchschauen:
- Haben Sie unerwartete Social-Media-Aktivitäten bemerkt? Haben Sie zum Beispiel kürzlich eine Seite oder einen Beitrag mit „Gefällt mir“ markiert oder ein Konto abonniert, ohne sich daran zu erinnern?
- Erhalten Sie plötzlich seltsame Pop-ups oder werden Sie auf andere Seiten umgeleitet? Sie klicken irgendwo und finden sich plötzlich an einem seltsamen, unbekannten Ort wieder.
- Sie klicken auf eine Schaltfläche, aber es passiert nichts? Dies wird als Phantom-Klicken bezeichnet und könnte auf einen versteckten Layer hindeuten.
- Spielt Ihr Browser verrückt? Haben Sie unerwartete Downloads, unbekannte Anmeldeversuche oder seltsame Berechtigungsanfragen für Ihre Kamera oder Ihr Mikrofon beobachtet?
- Sehen das Design oder die Buttons einer Webseite fehlerhaft aus? Falls etwas auf einer Website seltsam platziert erscheint oder leicht transparent wirkt, kann dies entweder auf einen weniger talentierten Designer zurückzuführen sein oder auf ein Overlay hindeuten. Seien Sie also vorsichtig beim Klicken.
Falls Sie bei einer der obigen Fragen mit „ja“ geantwortet haben, könnten Sie Opfer eines Clickjacking-Angriffs geworden sein. Handeln Sie schnell, um das Ausmaß des Schadens zu erfassen und weiteren Problemen vorzubeugen. Führen Sie einen Scan mit einer seriösen Anti-Malware-Lösung wie Avira Free Antivirus durch. Ändern Sie die Passwörter der betroffenen Konten und stellen Sie sicher, dass diese stark und einzigartig sind. Ein Passwort-Manager wie der Avira Password Manager kann das für Sie übernehmen und hilft dabei, Ihre Passwörter sicher zu speichern. Avira Free Security enthält diese und andere wichtige Tools für die Online-Privatsphäre und -Sicherheit.
Überwachen Sie Ihre Bank- und Kreditkartenauszüge sorgfältig und informieren Sie bei Verdacht auf Betrug umgehend Ihre Bank und die zuständigen Behörden vor Ort.
Für technisch Interessierte: Clickjacking-Schutz für IT
Es gibt zwei grundlegende Methoden, die IT-Teams einsetzen, um Clickjacking abzuwehren.
Client-seitiger Clickjacking-Schutz
Client-seitige Methoden konzentrieren sich darauf, Angreifer daran zu hindern, Benutzer über deren Browser zu manipulieren. Eine effektive Methode ist der Einsatz JavaScript-basierter Frame-Busting-Techniken. Diese erkennen, wenn eine Seite in einem iframe eingebettet ist, und erzwingen, dass sie aus dem iframe herausbricht. So kann ein einfaches Skript überprüfen, ob die Seite in einem Frame eingebettet ist, und den Benutzer zur Hauptwebsite umleitet. Bedauerlicherweise sind diese Methoden nicht unfehlbar, da geschickte Angreifer sie deaktivieren oder umgehen können.
Server-seitiger Clickjacking-Schutz
Server-seitige Schutzmaßnahmen gelten in der Regel als stabiler und verlässlicher. Eine beliebte Methode besteht in der Verwendung von HTTP-Headern, etwa der Frame-ancestors-Direktive, die Bestandteil der Content Security Policy (CSP) ist. Diese bestimmen, ob eine Webseite innerhalb eines iframes geladen werden kann. Der X-Frame-Options-Header hilft ebenfalls bei der Steuerung, wurde jedoch größtenteils durch CSP-Direktiven ersetzt. Der X-Frame-Options-Header unterstützt Werte wie SAMEORIGIN, der festlegt, dass eine Webseite ausschließlich vonseiten gleicher Herkunft geframt werden darf, was hilft, das Einbetten von Schadsoftware durch Drittanbieter-Websites zu verhindern.
Für eine noch höhere Sicherheit können Websites Frame-Busting mit einer Benutzerauthentifizierung kombinieren. Beispielsweise kann der Einsatz eines CAPTCHA vor der Ausführung sensibler Aktionen verhindern, dass Benutzer versehentlich Änderungen vornehmen. Sicherheitsrichtlinien von Organisationen wie OWASP empfehlen den Einsatz mehrerer Schutzebenen, um die Gefahr von Clickjacking-Angriffen zu reduzieren.
Zusätzlich helfen einige Browser-Add-ons dabei, versteckte Iframes zu erkennen und zu blockieren, was Benutzern eine zusätzliche Schutzebene gegen Clickjacking-Bedrohungen bietet.
Client- und serverseitige Methoden können gemeinsam dazu beitragen, dass Websites Clickjacking-Angriffe effektiver blockieren und die Klicks der Benutzer besser davor schützen, als Waffe gegen sie missbraucht zu werden.
Wie Ihr Verhalten im Internet dazu beiträgt, Sie vor Clickjacking zu schützen
Ein geschärftes Bewusstsein für Social Engineering kann wesentlich zum Schutz vor Clickjacking beitragen, da Hacker diese Methode häufig für ihre Angriffe nutzen. Befolgen Sie wie gewohnt die Regeln des gesunden Menschenverstands und bewährte Internet-Methoden, um Ihre Online-Sicherheit zu erhöhen.
- Seien Sie im Internet stets wachsam und behalten Sie Ihre Social-Media-Profile und Online-Konten genau im Auge, damit Sie ungewöhnliche Aktivitäten schneller bemerken.
- Denken Sie nach, bevor Sie klicken: Bleiben Sie misstrauisch bei Angeboten, die zu gut erscheinen, um wahr zu sein – beispielsweise ein überraschend Gewinn oder unglaublicher Rabatt. Öffnen Sie keine Pop-up-Fenster, besonders wenn Sie sich auf unbekannten Websites befinden. Textbasiertes Clickjacking (eine Art Smishing-Betrug) wird immer häufiger. Unterlassen Sie daher die Beschäftigung mit Textnachrichten, deren Absender Sie nicht kennen. Sollten Sie den Drang verspüren, auf einen Link zu klicken, halten Sie zunächst den Mauszeiger darüber, um die wahre URL zu enthüllen und zu sehen, wohin er Sie führen würde.
- Verwenden Sie einen Werbeblocker. Dubiose Anzeigen können als Einfallstor für Clickjacking-Angriffe dienen. Ein guter Werbeblocker kann dafür sorgen, dass diese Anzeigen von vornherein nicht angezeigt werden.
- Deaktivieren Sie Skripte auf verdächtigen Websites. Einige Browser wie der Avira Secure Browser sind mit integrierten Sicherheitsfunktionen ausgestattet und blockieren schädliche Skripte, die im Hintergrund laufen. Sie können zudem Werbeanzeigen blockieren und verhindern, dass schädliche Websites geladen werden.
- Aktivieren Sie die Sicherheitseinstellungen des Browsers. Browser wie Chrome und Firefox bieten einen gewissen Schutz vor Clickjacking. Achten Sie auf regelmäßige Updates und aktivieren Sie Sicherheits- und Datenschutzfunktionen. Beachten Sie stets die Warnhinweise Ihres Browsers auf den Webseiten, die Sie besuchen. Wenn Sie eine Warnung erhalten, nicht fortzufahren, dann nehmen Sie den Hinweis ernst. Lesen Sie unseren Leitfaden zur Überprüfung der Website-Sicherheit.
- Aktivieren Sie die Multi-Faktor-Authentifizierung. Das Hinzufügen einer zweiten Verteidigungslinie mit Zwei- oder Mehrfaktor-Authentifizierung (wie ein per SMS oder E-Mail verschickter Passcode) bedeutet, dass Cyberkriminelle selbst dann keinen Zugriff erhalten, wenn sie Ihnen das Passwort stehlen.
Genießen Sie den kostenlosen, robusten Schutz in einer praktischen All-in-One-Lösung
Der Einsatz zuverlässiger technischer Hilfsmittel ist der Schlüssel zum Schutz vor Cyberkriminalität, einschließlich Clickjacking. Avira Free Security kombiniert einen leistungsstarken Virenschutz, Passwortmanager, Software-Updater, VPN und vieles mehr, um einen mehrschichtigen Schutz gegen selbst neueste Online-Bedrohungen aufzubauen. Schützen Sie all Ihre Geräte mit Free Security für Windows, der Sicherheitslösung für Mac, der Sicherheits-App für iOS-Geräte oder der Antivirus-App für Android-Smartphones und -Tablets.
Clickjacking wird im Vergleich zu anderen Cyberbedrohungen wie Phishing oft unterschätzt, ist aber genauso gefährlich – da Sie unter Umständen gar nicht bemerken, dass es gerade stattfindet. Sorgen Sie für eine hohe Sicherheit Ihres Browsers und Geräts und bleiben Sie wachsam, um nicht in diese versteckten Fallen zu geraten.
Und denken Sie daran: Nur, weil Sie etwas auf Ihrem Bildschirm sehen, heißt das nicht, dass es auch real ist.
Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch