Hüten Sie sich vor der Identifizierung sozialer Netzwerke

Vorsicht vor Clickjacking: Eine unterschätzte Bedrohung

Es ist verlockend, auf einen Link zu klicken, der ein kostenloses iPhone verspricht. Doch Vorsicht: Solch ein Klick kann Sie schnell auf eine falsche Fährte locken, und die Folgen können gravierend sein.

Clickjacking, auch bekannt als User Interface Redressing, ist eine Angriffsmethode, bei der ein Link durch eine darüberliegende Ebene verschleiert wird. Dadurch wird der Nutzer dazu verleitet, eine andere Aktion auszuführen als beabsichtigt.

Viele Social-Media-Nutzer bleiben aus Bequemlichkeit ständig eingeloggt. Angreifer können dies leicht ausnutzen, um Nutzer unbemerkt zu Aktionen wie dem Liken oder Folgen zu zwingen. Ein Cyberkrimineller könnte beispielsweise auf seiner eigenen Webseite einen verlockenden Button mit der Aufschrift „Gratis iPhone – zeitlich begrenztes Angebot“ platzieren und darüber einen unsichtbaren Rahmen mit einer Social-Media-Seite legen. Dieser Rahmen überlagert die „Gefällt mir“- oder „Teilen“-Schaltfläche, sodass der Nutzer unbewusst diese Aktion ausführt.

Mit diesem einfachen Clickjacking-Trick können Facebook-Nutzer dazu gebracht werden, Gruppen oder Fanseiten zu liken, ohne es zu merken.

Das beschriebene Szenario ist relativ harmlos, da das Opfer lediglich einer Gruppe in einem sozialen Netzwerk beitritt. Jedoch kann dieselbe Technik mit etwas mehr Aufwand genutzt werden, um festzustellen, ob ein Nutzer bei seinem Bankkonto angemeldet ist. Dieser könnte dann dazu gebracht werden, auf eine Schaltfläche zu klicken, die eine Geldüberweisung auslöst, anstatt einen Social-Media-Beitrag zu liken. Das Problem: Die bösartige Aktion ist nicht nachverfolgbar, da der Benutzer ja legal bei seinem Bankkonto angemeldet war und vermeintlich freiwillig auf die Schaltfläche „Überweisen“ geklickt hat.

Da Clickjacking-Techniken oft Social Engineering nutzen, sind soziale Netzwerke ideale Angriffsziele.

Sehen wir uns an, wie diese Angriffe ablaufen.

Clickjacking auf Twitter

Vor einigen Jahren erlebte Twitter eine massive Clickjacking-Attacke, bei der eine Nachricht, die die Neugier der Nutzer ausnutzte, schnell die Runde machte.

Tweets mit dem Text „Nicht klicken“, gefolgt von einem Link, verbreiteten sich rasant über Tausende von Twitter-Konten. Wenn Benutzer auf den Link und dann auf eine scheinbar harmlose Schaltfläche auf der Zielseite klickten, wurde ein Tweet von ihren Konten gesendet, der ebenfalls den Text „Nicht klicken“ und den bösartigen Link enthielt.

Die Twitter-Ingenieure konnten den Angriff jedoch schnell beheben. Der Angriff selbst war harmlos, fungierte aber als Weckruf, der auf die potenziellen Risiken von Clickjacking-Initiativen auf Twitter hinwies. Der bösartige Link führte zu einer Webseite mit einem versteckten Iframe, das eine unsichtbare Schaltfläche enthielt, die den schädlichen Tweet vom Konto des Opfers sendete.

Clickjacking auf Facebook

Nutzer der mobilen Facebook-App sind anfällig für einen Fehler, der es Spammern erlaubt, ohne deren Zustimmung anklickbare Inhalte auf ihren Timelines zu posten. Ein Sicherheitsexperte entdeckte den Fehler bei der Analyse einer Spam-Kampagne. Er beobachtete, dass viele seiner Kontakte einen Link zu einer Seite mit lustigen Bildern veröffentlichten. Vor dem Erreichen der Bilder wurden die Nutzer aufgefordert, eine Volljährigkeitserklärung zu akzeptieren.

Was sie nicht wussten: Die Erklärung war unter einem unsichtbaren Rahmen platziert.

Nach der Akzeptanz der Erklärung wurden die Nutzer zu den lustigen Bildern weitergeleitet. Gleichzeitig wurde jedoch der Link auf der Facebook-Timeline des Nutzers gepostet. Möglich war dies, weil die Webbrowser-Komponente in der Android-App von Facebook nicht mit den Frame-Options-Headern kompatibel war (die wir später erläutern). Dadurch wurden bösartige Frame-Überlagerungen möglich.

Facebook betrachtet dieses Problem nicht als Fehler, da es die Integrität der Benutzerkonten nicht beeinträchtigt. Es ist also fraglich, ob dieser Fehler jemals behoben wird.

Clickjacking in kleineren sozialen Netzwerken

Nicht nur Twitter und Facebook sind betroffen. Auch weniger populäre soziale Netzwerke und Blogging-Plattformen weisen Sicherheitslücken auf, die Clickjacking ermöglichen. LinkedIn hatte beispielsweise einen Fehler, der es Angreifern erlaubte, Benutzer zum Teilen von Links in ihrem Namen zu zwingen, ohne deren Zustimmung. Bevor der Fehler behoben wurde, konnten Angreifer die LinkedIn ShareArticle-Seite in einem versteckten Frame laden und diesen Frame auf Seiten mit scheinbar harmlosen Links oder Schaltflächen legen.

Ein weiteres Beispiel ist Tumblr, eine öffentliche Web-Blogging-Plattform. Diese Seite verwendet zwar JavaScript-Code, um Clickjacking zu verhindern, doch dieser Schutz ist wirkungslos, da die Seiten in einem HTML5-Frame isoliert werden können, der die Ausführung von JavaScript-Code verhindert. Mit einer ausgeklügelten Technik könnte in Kombination mit einem Browser-Plugin zur Passwortunterstützung das Passwort gestohlen werden. Benutzer könnten dazu verleitet werden, einen falschen Captcha-Text einzugeben und so ihr Passwort versehentlich an die Webseite des Angreifers zu senden.

Cross-Site Request Forgery (CSRF)

Eine Variante des Clickjacking-Angriffs ist Cross-Site Request Forgery, kurz CSRF. Mithilfe von Social Engineering starten Cyberkriminelle CSRF-Angriffe gegen Endbenutzer und zwingen sie zu ungewollten Aktionen. Der Angriffsvektor kann ein Link sein, der per E-Mail oder Chat verschickt wird.

CSRF-Angriffe zielen nicht auf den Diebstahl von Benutzerdaten ab, da der Angreifer die Antwort auf die gefälschte Anfrage nicht sehen kann. Stattdessen zielen sie auf zustandsverändernde Anfragen ab, wie das Ändern eines Passworts oder eine Geldüberweisung. Verfügt das Opfer über Administratorrechte, kann der Angriff die gesamte Webanwendung kompromittieren.

Ein CSRF-Angriff kann auf anfälligen Webseiten gespeichert werden, insbesondere auf Seiten mit sogenannten „gespeicherten CSRF-Fehlern“. Dies kann durch Eingabe von IMG- oder IFRAME-Tags in Eingabefelder erfolgen, die später auf einer Seite angezeigt werden, z. B. Kommentare oder Suchergebnisse.

Verhinderung von Framing-Angriffen

Moderne Browser können darüber informiert werden, ob eine bestimmte Ressource innerhalb eines Frames geladen werden darf oder nicht. Es ist auch möglich, eine Ressource nur dann in einen Frame zu laden, wenn die Anfrage von derselben Seite stammt, auf der sich der Benutzer befindet. Dies verhindert, dass Benutzer auf unsichtbare Frames mit Inhalten anderer Webseiten klicken und ihre Klicks gekapert werden.

Clientseitige Techniken zur Schadensbegrenzung werden als Frame-Busting oder Frame-Killing bezeichnet. Obwohl diese in manchen Fällen effektiv sein können, sind sie auch leicht zu umgehen. Daher gelten clientseitige Methoden nicht als Best Practice. Stattdessen empfehlen Sicherheitsexperten serverseitige Methoden wie X-Frame-Options (XFO) oder neuere, wie die Content Security Policy.

X-Frame-Options ist ein Antwortheader, den Webserver in Webseiten einfügen, um zu deklarieren, ob ein Browser dessen Inhalt innerhalb eines Frames anzeigen darf oder nicht.

Der X-Frame-Options-Header erlaubt drei Werte:

  • DENY: Verbietet die Anzeige der Seite in einem Frame.
  • SAMEORIGIN: Erlaubt die Anzeige der Seite in einem Frame, solange sie in derselben Domäne bleibt.
  • ALLOW-FROM URI: Erlaubt die Anzeige der Seite in einem Frame, jedoch nur bei einem bestimmten URI (Uniform Resource Identifier), beispielsweise nur innerhalb einer bestimmten Webseite.

Zu den neueren Methoden zur Clickjacking-Abwehr gehört die Content Security Policy (CSP) mit der Direktive `frame-ancestors`. Diese Option wird oft als Ersatz für XFO genutzt. Ein großer Vorteil von CSP gegenüber XFO ist, dass ein Webserver mehrere Domänen autorisieren kann, seinen Inhalt zu rahmen. Allerdings wird CSP noch nicht von allen Browsern unterstützt.

Die `frame-ancestors`-Direktive von CSP akzeptiert drei Arten von Werten: „none“, um zu verhindern, dass eine Domäne Inhalte anzeigt; „self“, um nur der aktuellen Webseite zu erlauben, Inhalte in einem Frame anzuzeigen; und eine Liste von URLs mit Platzhaltern, wie z. B. `*.some site.com` oder `https://www.example.com/index.html`, um das Framing nur auf Seiten zu erlauben, die mit einem Element in der Liste übereinstimmen.

So schützen Sie sich vor Clickjacking

Es ist bequem, beim Surfen in sozialen Netzwerken eingeloggt zu bleiben, doch dabei sollten Sie vorsichtig sein. Achten Sie auch auf die Webseiten, die Sie besuchen, da nicht alle die notwendigen Maßnahmen zur Clickjacking-Prävention umsetzen. Wenn Sie sich bei einer besuchten Webseite unsicher sind, sollten Sie nicht auf verdächtige Links klicken, egal wie verlockend sie erscheinen mögen.

Ein weiterer wichtiger Punkt ist die Version Ihres Browsers. Selbst wenn eine Webseite alle erwähnten Header zur Clickjacking-Prävention einsetzt, unterstützen nicht alle Browser diese Funktionen. Stellen Sie also sicher, dass Sie die neueste Version verwenden, die Anti-Clickjacking-Funktionen unterstützt.

Gesunder Menschenverstand ist ein effektiver Selbstschutz gegen Clickjacking. Wenn Sie ungewöhnliche Inhalte sehen, insbesondere einen Link, der von einem Freund in einem sozialen Netzwerk geteilt wurde, fragen Sie sich, ob dies die Art von Inhalt ist, die Ihr Freund normalerweise posten würde. Wenn nicht, warnen Sie Ihren Freund, dass er oder sie Opfer von Clickjacking geworden sein könnte.

Ein letzter Tipp: Wenn Sie ein Influencer sind oder viele Follower oder Freunde in einem sozialen Netzwerk haben, sollten Sie Ihre Vorsichtsmaßnahmen verstärken und verantwortungsvolles Online-Verhalten praktizieren. Wenn Sie Opfer von Clickjacking werden, kann dies weitreichende Folgen für eine große Zahl von Menschen haben.