Es ist schwer zu widerstehen, auf einen kostenlosen iPhone-Angebotslink zu klicken. Aber seien Sie vorsichtig: Ihr Klick kann leicht entführt werden, und die Ergebnisse können katastrophal sein.
Clickjacking ist eine Angriffsmethode, die auch als User Interface Redressing bekannt ist, da sie durch Verschleierung (oder Redressing) eines Links mit einer Überlagerung eingerichtet wird, die den Benutzer dazu verleitet, etwas anderes zu tun, als er oder sie denkt.
Die meisten Nutzer sozialer Netzwerke genießen den Komfort, jederzeit bei ihnen eingeloggt zu bleiben. Angreifer könnten diese Angewohnheit leicht ausnutzen, um Benutzer dazu zu zwingen, etwas zu mögen oder ihm zu folgen, ohne es zu bemerken. Dazu könnte ein Cyberkrimineller einen verlockenden Button – beispielsweise mit einem ansprechenden Text wie „Kostenloses iPhone – zeitlich begrenztes Angebot“ – auf seiner eigenen Webseite platzieren und darin einen unsichtbaren Rahmen mit der Seite des sozialen Netzwerks überlagern eine Art und Weise, dass eine „Gefällt mir“- oder „Teilen“-Schaltfläche über der kostenlosen iPhone-Schaltfläche liegt.
Dieser einfache Clickjacking-Trick kann Facebook-Nutzer dazu zwingen, Gruppen oder Fanseiten zu mögen, ohne es zu wissen.
Das beschriebene Szenario ist ziemlich harmlos in dem Sinne, dass die einzige Konsequenz für das Opfer darin besteht, einer Gruppe in einem sozialen Netzwerk hinzugefügt zu werden. Aber mit etwas zusätzlichem Aufwand könnte die gleiche Technik verwendet werden, um festzustellen, ob ein Benutzer bei seinem Bankkonto angemeldet ist und er oder sie gezwungen werden könnte, auf eine Schaltfläche zu klicken, auf die Geld überwiesen wird, anstatt einen Social-Media-Artikel zu mögen oder zu teilen zum Beispiel das Konto eines Angreifers. Das Schlimmste daran ist, dass die böswillige Aktion nicht zurückverfolgt werden kann, da der Benutzer rechtmäßig bei seinem Bankkonto angemeldet war und freiwillig auf die Schaltfläche „Überweisen“ geklickt hat.
Da die meisten Clickjacking-Techniken Social Engineering erfordern, werden soziale Netzwerke zu idealen Angriffsvektoren.
Mal sehen, wie sie verwendet werden.
Inhaltsverzeichnis
Clickjacking auf Twitter
Vor etwa zehn Jahren erlitt das soziale Netzwerk Twitter einen massiven Angriff, der schnell eine Nachricht verbreitete, die dazu führte, dass Benutzer auf einen Link klickten und ihre natürliche Neugier ausnutzten.
Tweets mit dem Text „Nicht klicken“, gefolgt von einem Link, verbreiteten sich schnell über Tausende von Twitter-Konten. Wenn Benutzer auf den Link und dann auf eine scheinbar harmlose Schaltfläche auf der Zielseite klickten, wurde ein Tweet von ihren Konten gesendet. Dieser Tweet enthielt den Text „Nicht klicken“, gefolgt von dem bösartigen Link.
Twitter-Ingenieure haben den Clickjacking-Angriff nicht lange nach seinem Start gepatcht. Der Angriff selbst erwies sich als harmlos und funktionierte wie ein Alarm, der auf die potenziellen Risiken hinweist, die mit Twitter-Clickjacking-Initiativen verbunden sind. Der bösartige Link führte den Benutzer zu einer Webseite mit einem versteckten Iframe. Innerhalb des Rahmens befand sich eine unsichtbare Schaltfläche, die den böswilligen Tweet vom Konto des Opfers sendete.
Clickjacking auf Facebook
Benutzer mobiler Facebook-Apps sind einem Fehler ausgesetzt, der es Spammern ermöglicht, anklickbare Inhalte ohne ihre Zustimmung auf ihren Timelines zu posten. Der Fehler wurde von einem Sicherheitsexperten entdeckt, der eine Spam-Kampagne analysierte. Der Experte beobachtete, dass viele seiner Kontakte einen Link zu einer Seite mit lustigen Bildern veröffentlichten. Vor Erreichen der Bilder wurden die Nutzer aufgefordert, auf eine Volljährigkeitserklärung zu klicken.
Was sie nicht wussten, war, dass die Erklärung unter einem unsichtbaren Rahmen stand.
Wenn Benutzer die Erklärung akzeptierten, wurden sie auf eine Seite mit lustigen Bildern weitergeleitet. Doch inzwischen wurde der Link in der Facebook-Timeline der Nutzer veröffentlicht. Das war möglich, weil die Webbrowser-Komponente in der Facebook-App für Android nicht mit den Frame-Options-Headern kompatibel ist (unten erklären wir, was sie sind) und daher böswillige Frame-Überlagerungen ermöglicht.
Facebook erkennt das Problem nicht als Fehler an, da es keine Auswirkungen auf die Integrität der Benutzerkonten hat. Es ist also ungewiss, ob es jemals repariert wird.
Clickjacking in kleineren sozialen Netzwerken
Es ist nicht nur Twitter und Facebook. Andere weniger beliebte soziale Netzwerke und Blogging-Plattformen weisen ebenfalls Sicherheitslücken auf, die Clickjacking ermöglichen. LinkedIn zum Beispiel hatte einen Fehler, der Angreifern eine Tür öffnete, um Benutzer dazu zu bringen, Links in ihrem Namen, aber ohne ihre Zustimmung, zu teilen und zu posten. Bevor er behoben wurde, ermöglichte der Fehler Angreifern, die LinkedIn ShareArticle-Seite in einem versteckten Frame zu laden und diesen Frame auf Seiten mit scheinbar unschuldigen und ansprechenden Links oder Schaltflächen zu legen.
Ein weiterer Fall ist Tumblr, die öffentliche Web-Blogging-Plattform. Diese Seite verwendet JavaScript-Code, um Clickjacking zu verhindern. Diese Schutzmethode wird jedoch wirkungslos, da die Seiten in einem HTML5-Frame isoliert werden können, der sie daran hindert, JavaScript-Code auszuführen. Eine sorgfältig ausgearbeitete Technik könnte verwendet werden, um Passwörter zu stehlen, indem der erwähnte Fehler mit einem Passwort-Hilfs-Browser-Plugin kombiniert wird: Indem Benutzer dazu verleitet werden, einen falschen Captcha-Text einzugeben, können sie ihre Passwörter versehentlich an die Website des Angreifers senden.
Cross-Site-Anfragefälschung
Eine Variante des Clickjacking-Angriffs heißt Cross-Site Request Forgery, kurz CSRF. Mit Hilfe von Social Engineering richten Cyberkriminelle CSRF-Angriffe gegen Endbenutzer und zwingen sie, unerwünschte Aktionen auszuführen. Der Angriffsvektor kann ein Link sein, der per E-Mail oder Chat gesendet wird.
CSRF-Angriffe beabsichtigen nicht, die Daten des Benutzers zu stehlen, da der Angreifer die Antwort auf die gefälschte Anfrage nicht sehen kann. Stattdessen zielen die Angriffe auf zustandsändernde Anfragen ab, wie eine Passwortänderung oder eine Geldüberweisung. Wenn das Opfer über Administratorrechte verfügt, hat der Angriff das Potenzial, eine gesamte Webanwendung zu kompromittieren.
Ein CSRF-Angriff kann auf anfälligen Websites gespeichert werden, insbesondere auf Websites mit sogenannten „gespeicherten CSRF-Fehlern“. Dies kann durch die Eingabe von IMG- oder IFRAME-Tags in Eingabefelder erfolgen, die später auf einer Seite angezeigt werden, z. B. Kommentaren oder einer Suchergebnisseite.
Framing-Angriffe verhindern
Modernen Browsern kann mitgeteilt werden, ob eine bestimmte Ressource innerhalb eines Frames geladen werden darf oder nicht. Sie können sich auch dafür entscheiden, eine Ressource nur dann in einen Frame zu laden, wenn die Anforderung von derselben Site stammt, auf der sich der Benutzer befindet. Auf diese Weise können Benutzer nicht dazu verleitet werden, auf unsichtbare Frames mit Inhalten von anderen Websites zu klicken, und ihre Klicks werden nicht gekapert.
Clientseitige Minderungstechniken werden als Frame-Busting oder Frame-Killing bezeichnet. Obwohl sie in einigen Fällen effektiv sein können, können sie auch leicht umgangen werden. Aus diesem Grund gelten clientseitige Methoden nicht als Best Practices. Statt Frame-Busting empfehlen Sicherheitsexperten serverseitige Methoden wie X-Frame-Options (XFO) oder neuere wie Content Security Policy.
X-Frame-Options ist ein Antwortheader, den Webserver auf Webseiten einfügen, um anzugeben, ob ein Browser seinen Inhalt innerhalb eines Frames anzeigen darf oder nicht.
Der X-Frame-Option-Header erlaubt drei Werte.
- DENY, was verbietet, die Seite innerhalb eines Frames anzuzeigen
- SAMEORIGIN, wodurch die Seite innerhalb eines Frames angezeigt werden kann, solange sie in derselben Domäne bleibt
- ALLOW-FROM URI, die die Anzeige der Seite innerhalb eines Frames erlaubt, aber nur in einem bestimmten URI (Uniform Resource Identifier), zB nur innerhalb einer bestimmten, bestimmten Webseite.
Zu den neueren Anti-Clickjacking-Methoden gehört die Content Security Policy (CSP) mit der frame-ancestors-Direktive. Diese Option wird häufig beim Ersatz von XFO verwendet. Ein großer Vorteil von CSP im Vergleich zu XFO besteht darin, dass ein Webserver mehrere Domänen autorisieren kann, um seinen Inhalt zu rahmen. Allerdings wird es noch nicht von allen Browsern unterstützt.
Die frame-ancestors-Direktive von CSP lässt drei Arten von Werten zu: „none“, um zu verhindern, dass eine Domäne den Inhalt anzeigt; ’self‘, um zuzulassen, dass die aktuelle Website nur den Inhalt in einem Frame oder einer Liste von URLs mit Platzhaltern anzeigt, z. B. ‚*.some site.com‘ ‚https://www.example.com/index.html,‘ usw., um Framing nur auf Seiten zuzulassen, die mit einem Element aus der Liste übereinstimmen.
So schützen Sie sich vor Clickjacking
Es ist bequem, während des Surfens in einem sozialen Netzwerk eingeloggt zu bleiben, aber wenn Sie dies tun, müssen Sie mit Ihren Klicks vorsichtig sein. Sie sollten auch auf die von Ihnen besuchten Websites achten, da nicht alle die erforderlichen Maßnahmen ergreifen, um Clickjacking zu verhindern. Falls Sie sich bei einer Website, die Sie besuchen, nicht sicher sind, sollten Sie auf keinen verdächtigen Klick klicken, so verlockend es auch sein mag.
Eine andere Sache, auf die Sie achten sollten, ist Ihre Browserversion. Selbst wenn eine Website alle zuvor erwähnten Header zur Verhinderung von Clickjacking verwendet, unterstützen nicht alle Browser alle. Stellen Sie also sicher, dass Sie die neueste Version verwenden, die Sie erhalten können, und dass sie Anti-Clickjacking-Funktionen unterstützt.
Gesunder Menschenverstand ist ein effektiver Selbstschutz gegen Clickjacking. Wenn Sie ungewöhnliche Inhalte sehen, einschließlich eines Links, der von einem Freund in einem sozialen Netzwerk gepostet wurde, sollten Sie sich, bevor Sie irgendetwas tun, fragen, ob dies die Art von Inhalt ist, die Ihr Freund veröffentlichen würde. Wenn nicht, sollten Sie Ihren Freund warnen, dass er oder sie Opfer von Clickjacking geworden sein könnte.
Ein letzter Ratschlag: Wenn Sie ein Influencer sind oder einfach nur eine wirklich große Anzahl von Followern oder Freunden in einem sozialen Netzwerk haben, sollten Sie Ihre Vorsichtsmaßnahmen verdoppeln und ein verantwortungsvolles Verhalten online praktizieren. Denn wenn Sie ein Clickjacking-Opfer werden, wird der Angriff am Ende eine ganze Menge Leute betreffen.