Clickjacking ist ein bösartiger Angriff auf eine Website, bei dem ein Benutzer dazu gebracht wird, auf etwas anderes zu klicken, als er beabsichtigt hatte. Ein Clickjacking-Angriff wird auch als User Interface (UI)-Redressing bezeichnet. Das liegt daran, dass der Angreifer die Benutzeroberfläche mit einem unsichtbaren Frame versieht, der den Benutzer dazu bringt, Dinge zu tun, die er normalerweise nicht tun würde.
In diesem Artikel erfahren Sie, was Clickjacking ist, wie Sie es erkennen können und verhindern, dass diese Angriffe Ihre Website und ihre Nutzer beeinträchtigen.
Die häufigste Art von Clickjacking-Angriffen sind so genannte Overlay-Angriffe. Diese werden durch unsichtbare Frames (iFrames) ermöglicht, bei denen Angreifer eine legitim aussehende Website mit einer für den Benutzer nicht sichtbaren Oberfläche für böswillige Zwecke überdecken.
Richtig eingesetzt, haben iFrames viele legitime Verwendungsmöglichkeiten. Ein iFrame kann zum Beispiel verwendet werden, um ein Video von Vimeo oder YouTube in einen Blogbeitrag oder eine andere Seite Ihrer Website einzubetten. Das Video kann direkt auf der Seite abgespielt werden, da es in einem iFrame läuft.
Beim Clickjacking wird ein iFrame verwendet, um einen Benutzer glauben zu machen, dass er auf eine Sache klickt (z. B. das Herunterladen einer PDF-Datei), während er in Wirklichkeit etwas anderes tut (z. B. einen unbeabsichtigten Kauf tätigt oder Malware herunterlädt).
Overlays sind nicht die einzige Möglichkeit, einen Clickjacking-Angriff auszuführen, aber das Endergebnis jeder Art von Clickjacking-Angriff ist, dass der Benutzer durch bösartige Elemente, die als legitime Elemente getarnt sind, zu unbeabsichtigten Aktionen verleitet wird.
Angreifer können bei der Entwicklung eines Clickjacking-Angriffs verschiedene Varianten verwenden, aber hier ist ein klassisches Beispiel dafür, wie ein Angriff ablaufen kann.
Ein Clickjacker erstellt eine bösartige Seite (z. B. dummy.com) und fügt einen iFrame ein, der die Ziel-Website enthält (eine legitime Website, z. B. legit.com). Mittels Styling wird der iFrame unsichtbar gemacht und so positioniert, dass sich die unsichtbare Schaltfläche auf legit.com direkt über einer Dummy-Schaltfläche auf dummy.com befindet. Wenn der Benutzer auf die Dummy-Schaltfläche klickt, die er sieht, klickt er tatsächlich auf die unsichtbare Schaltfläche.
Wenn die Angreifer ihre Dummy-Website eingerichtet haben, verwenden sie in der Regel Social-Engineering-Taktiken, wie z. B. betrügerische E-Mails, um die Opfer zum Besuch zu verleiten. In den E-Mails wird den Opfern möglicherweise mitgeteilt, dass sie einen Preis gewonnen haben, oder es wird ihnen ein unwiderstehliches Angebot gemacht, um sie anzulocken.
Sobald der Angreifer ein Opfer dazu verleitet hat, die Website zu besuchen, klickt das Opfer darauf, um ein gefälschtes Angebot in Anspruch zu nehmen oder eine andere Aktion durchzuführen. Wenn sie dies tun, wird die vom Angreifer beabsichtigte Aktion vom Browser des Opfers ausgeführt und nicht das, was das Opfer beabsichtigt hat.
Clickjacking-Angriffe können mehr als nur Cursor-Klicks abfangen. Sie können auch dazu verwendet werden, Informationen abzufangen, Geld zu stehlen, in die Privatsphäre der Nutzer einzudringen und vieles mehr, zum Beispiel
Login-Daten stehlen (passwortlose Authentifizierung kann dies vereiteln)
Illegal Geld transferieren
Unbeabsichtigte Käufe tätigen
Benutzerstandort offenlegen
Mikrofon oder Kamera eines Benutzers aktivieren
Malware herunterladen
Mehr Follower in den sozialen Medien gewinnen (Likejacking)
Browser-Cookies stehlen (Cookiejacking)
Auf Dateien auf der Festplatte des Benutzers zugreifen (Filejacking)
Technisch gesehen kann jede Website, die in einen iFrame eingebettet werden kann, für Clickjacking-Angriffe anfällig sein. Deshalb ist es sowohl für Website-Administratoren als auch für Endnutzer so wichtig, proaktiv zu handeln, um sie zu verhindern.
Wie können Sie also testen, wie anfällig Ihre Website für Clickjacking ist? Eine Methode besteht darin, eine bestimmte HTML-Seite zu codieren und damit zu versuchen, eine sensible Seite Ihrer Website in einen iFrame einzubetten. OWASP stellt ein Beispiel für einen HTML-Code zur Verfügung, mit dem dieser Test durchgeführt werden kann.
Die meisten Methoden zum Schutz vor Clickjacking beruhen auf dem Ursprung der Seite, d. h. auf der Tatsache, dass sich die Domäne der bösartigen Seite von der Domäne der legitimen Seite unterscheidet (z. B. dummy.com vs. legit.com). Wenn Sie diese Testseite ausführen, sollten Sie sie also nicht unter derselben Domäne wie die Zielseite ausführen (z. B. legit.com).
Wenn Sie die HTML-Datei ausführen, sollte sie Ihnen mitteilen, ob die zu testende Seite für Clickjacking anfällig ist. Mit weiteren Tests können Sie feststellen, ob bereits vorhandene Schutzmaßnahmen auf der Seite durch einen Clickjacking-Angriff umgangen werden könnten.
Sie können Ihre Website gegen Clickjacking-Angriffe durch clientseitige oder serverseitige Prävention schützen.
Auf der Client-Seite gibt es drei Hauptmethoden zur Verhinderung von Clickjacking, die alle mit Browsern zusammenhängen.
Auch wenn Sie nicht kontrollieren können, welche Browser Ihre Nutzer verwenden, unterstützen die meisten modernen Browser bereits die Intersection Observer API. Diese Javascript-API ermöglicht die Erkennung der Sichtbarkeit von Zielelementen. Sie lässt eine Website „wissen“, ob eine bestimmte Komponente auf der Seite oder die gesamte Seite für den Benutzer sichtbar ist. Dieses Wissen kann genutzt werden, um festzustellen, ob der Inhalt einer Website für den Benutzer unsichtbar ist (selbst wenn er in einem iFrame enthalten ist).
Browser-Add-Ons
Es gibt auch eine Handvoll Browser-Add-ons zum Schutz vor Clickjacking, darunter NoScript und NoClickjack. Diese Add-ons sind nicht mit jedem Browser kompatibel, aber ihre Verfügbarkeit nimmt zu.
Unter Frame Busting versteht man die Verwendung von JavaScript, um zu verhindern, dass eine Website in einem Frame geladen wird. Sie ist sogar in älteren Browsern wirksam, die neuere Methoden wie die Intersection Observer API oder die unten erwähnten X-Frame-Options-Header & CSP nicht unterstützen.
Hinweis: Frame Busting kann durch die enthaltende Dummy-Seite außer Kraft gesetzt werden.
Auf der Server-Seite gibt es mehrere Möglichkeiten, sich gegen Clickjacking zu schützen. Wenn möglich, ist es am besten, mehr als eine Methode anzuwenden, um die Abwehr zu verbessern.
Diese Frame-Option kann zu HTTP als Response-Header hinzugefügt werden. Der HTTP-Response-Header soll dem Server ermöglichen, dem Client (Webbrowser) mitzuteilen, ob die betreffende Seite in einem iFrame angezeigt werden darf. Die meisten großen Browser erzwingen diese Einschränkung. Sobald der Website-Administrator die X-Frame-Options der Website festgelegt hat, wird der Header eine der folgenden Framing-Richtlinien durchsetzen:
SAMEORIGIN: nur Framing von derselben/denselben Website(s) ist erlaubt
DENY: jegliches Framing ist untersagt
X-Frame-Options ist eine ältere Alternative und wurde durch den Standard Content Security Policy (siehe unten) überflüssig, wird aber von modernen Browsern weiterhin unterstützt.
Die frame-ancestors-Direktive soll den X-Frame-Options-Header ersetzen. Als Teil der Content Security Policy (CSP) kann die frame-ancestors-Direktive die Einbettung von gerahmten Inhalten erlauben oder verbieten. Auf Seiten, die sowohl den X-Frame-Options-Header als auch die frame-ancestors-Direktive enthalten, wird der frame-ancestors-Policy vom Browser in der Regel der Vorzug gegeben.
Die SameSite Cookie Attribution wird in der Regel verwendet, um eine Website vor Cross-Site Request Forgery (CSRF) zu schützen, sie kann aber auch helfen, Clickjacking zu verhindern. Sie verhindert, dass ein Cookie gesendet wird, wenn die Anfrage von einer dritten Partei stammt. Für Clickjacking bedeutet dies, dass selbst dann, wenn die Website in einem iFrame angezeigt wurde und das Opfer unbeabsichtigt auf eine Schaltfläche geklickt hat, kein Cookie gesendet wird, das normalerweise mit der Anfrage nach dem Klick gesendet werden sollte (z. B. ein Sitzungscookie).
Wenn die Nutzer es vermeiden können, Opfer von Social Engineering zu werden, werden Clickjacking-Angriffe weniger erfolgreich sein. Die Befolgung einer Handvoll vernünftiger Regeln kann den Nutzern helfen, sich vor den Social-Engineering-Taktiken zu schützen, mit denen Hacker auf sie losgehen:
Klicken Sie nicht auf Pop-ups, vor allem nicht auf Websites, die Sie nicht regelmäßig besuchen. Viele von ihnen sind bösartig.
Achten Sie auf alle Browser-Warnungen auf den von Ihnen besuchten Websites. Wenn Sie gewarnt werden, nicht fortzufahren, tun Sie es auch nicht.
Klicken Sie nicht auf einen Link in einer E-Mail von einer unbekannten Quelle. Bevor Sie auf einen Link klicken, der vertrauenswürdig aussieht, prüfen Sie ihn auf Rechtschreibfehler und stellen Sie fest, ob es sich um einen HTTP- oder HTTPS-Link handelt. Die meisten vertrauenswürdigen Websites verwenden HTTPS.
Clickjacking auf Textbasis wird immer häufiger. Klicken Sie auf keinen Fall auf Links in einem Text von einem unbekannten Absender.
Wenn Ihr Unternehmen eine Multi-Faktor-Authentifizierung einsetzt, kann diese zum Schutz vor Social Engineering beitragen. Denken Sie daran, dass dies vor allem für Arbeitskräfte von Bedeutung ist, da CIAM-Plattformen nicht darauf zählen können, ihre Kunden zur Vorsicht vor Social Engineering zu erziehen.
Möchtegern-Angreifer versuchen unerbittlich, Ihr System über verschiedene Angriffsvektoren zu kompromittieren. Um Ihr Unternehmen und seine Benutzer zu schützen, müssen Sie ebenso wachsam sein, um Ihre Cybersicherheitslage zu verbessern. Erfahren Sie mehr darüber, wie PingOne durch die Kombination von Online-Betrugserkennung, Identitätsnachweis und Zugriffsmanagement mit einer Lösung mit wenig oder gar keinem Code Ihr Risiko minimiert.
Starten Sie jetzt
Erfahren Sie, wie Ping Sie dabei unterstützen kann, sichere Mitarbeiter- und Kundenerlebnisse in einer sich schnell entwickelnden digitalen Welt zu schaffen.
Kostenlose Demo anfordern