Clickjacking
Was ist Clickjacking?
Bei Clickjacking handelt es sich um eine Technik, die von Computerhackern angewendet wird. Dabei wird eine Internetseite durch selbst programmierte Objekte überlagert und der Nutzer so per Maus bzw. Tastatur zur Eingabe von Daten aufgefordert. Ziel ist es auf diese Weise an persönliche Informationen wie Kennwörter zu gelangen.
Vorgehensweise beim Clickjacking
Der Besucher einer Webseite wird dazu animiert auf die überlagerten Objekte zu klicken. Was dieser nicht weiß ist, dass dabei der eigentliche Inhalt der Webseite ausgelöst wird. Der User geht beispielsweise davon aus lediglich auf einen Link zu klicken, löst damit jedoch eine vom Hacker programmierte Aktion aus.
Clickjacking kommt insbesondere bei Seiten zum Einsatz, über die Konfigurationseinstellungen getätigt werden. So werden zum Beispiel die Einstellungen einer Kamera oder eines Mikrofons geändert, während der User davon ausgeht harmlose Eingaben zu tätigen. Durch einen vom Hacker programmierten unsichtbaren Button werden die Informationen im Hintergrund an diesen übermittelt.
Wie lässt sich Clickjacking erkennen?
- Um an die gewünschten Daten zu gelangen, müssen Hacker den Nutzer dazu bringen eine entsprechende Aktion durchzuführen. Hierzu werden beispielsweise Angebote für besonders günstige elektronische Produkte unterbreitet oder mit kostenlosen Gutscheinen geworben. Bei Werbung mit auffallend günstigen Preisen ist deshalb immer Vorsicht geboten.
- Ein weiterer Hinweis auf Clickjacking ist das fehlende HTTP vor einer Webadresse. Mit einem HTTP Header bzw. Strict Transport Security (HSTS) wird die Kommunikation zwischen dem Server einer Webseite und dem Nutzer abgesichert. Fehlen diese Zeichen auf einer Seite sollten hier keine Eingaben getätigt werden. Optisch ist der Betrug auf einer Webseite dagegen kaum zu erkennen. Logos, Schriftarten und Farben werden von den Hackern täuschend echt nachgemacht.
Maßnahmen gegen Clickjacking
Mittlerweile haben viele Unternehmen Gegenmaßnahmen ergriffen um die Besucher ihrer Webseite vor einem Betrug zu schützen. Am einfachsten gelingt dies mit einem sogenannten X-Frame-Options innerhalb des HTTP Headers. Dieser prüft, ob ein Browser die notwendige Berechtigung zur Darstellung besitzt. So wird verhindert, dass Inhalte in gefälschte Webseiten eingearbeitet werden.
Bisher gibt es bezüglich eines solchen Headers noch keinen internationalen Standard. Er wird jedoch von allen bekannten Browsern unterstützt. Nutzer sollten darauf achten, dass sie immer die aktuellste Version ihres Webbrowsers nutzen.
Sie haben noch Fragen?