Was ist Clickjacking?

Clickjacking, auch als Clickjacking-Angriff oder Clickjack bekannt, ist ein Cyberangriff, bei dem versteckte Links Benutzer dazu verleiten, eine unbeabsichtigte Aktion auszuführen, die zur Offenlegung vertraulicher Informationen und zum Hacking führt.

Lesen Sie weiter, um mehr über Clickjacking und seine Funktionsweise zu erfahren.

Verstehen von Clickjacking

Bei einem Clickjack klicken Nutzer auf etwas im Internet in der Erwartung, eine Aktion auszuführen, ohne zu merken, dass der Klick in Wirklichkeit zu einer anderen, unbeabsichtigten Aktion führt. Das bedeutet, dass Cyberkriminelle Sie dazu verleiten können, bösartige Software (sogenannte Malware) herunterzuladen, versehentlich personenbezogene Daten (Personally Identifiable Information, PII) preiszugeben oder andere schwerwiegende Konsequenzen zu erleiden.

Clickjacking wird als Mittel für die Durchführung einer Vielzahl von Cyberangriffen verwendet. Sie sind oft schwer zu erkennen und können dazu führen, dass Cyberkriminelle Ihre Passwörter oder sensible Daten wie Bankkonto-, Kreditkarten- und Sozialversicherungsnummern stehlen. Das ultimative Ziel beim Sammeln dieser Informationen ist es, Ihnen Geld zu stehlen, Ihre Konten zu übernehmen oder Ihre Identität zu missbrauchen.

So funktioniert Clickjacking

Cyberkriminelle verwenden Clickjacking, um Sie auszutricksen, indem sie das, was Sie auf dem Bildschirm sehen, manipulieren. Sie überlagern unsichtbare Felder mit legitim aussehenden Feldern, um die von Ihnen durchgeführte Aktion zu verschleiern. Dies kann bei einer ganzen Website oder nur bei einer Pop-up-Anzeige der Fall sein. Manchmal bettet der Hacker die legitime Website sogar in seine eigene Website ein, um sie so echt wie möglich aussehen zu lassen. Dies wird auch als gefälschte Website bezeichnet.

Im Glauben, sich auf einer seriösen Website zu befinden, klicken Sie auf Dinge, geben Ihre Anmeldeinformationen ein oder übermitteln andere sensible Informationen. Sie sind überzeugt, dass Sie legitime Aktionen durchführen, aber die unsichtbaren Felder führen dazu, dass Sie versehentlich Malware herunterladen oder Ihre Daten an Cyberkriminelle senden.

Cyberkriminelle leiten Sie auf ihre illegitime Benutzeroberfläche, indem sie gefälschte Anzeigen schalten, die aussehen, als würden sie zu legitimen Websites führen, gefälschte E-Mails und SMS an Sie senden, einen Beitrag in sozialen Medien veröffentlichen oder infizierte Pop-ups schalten.

Beispiele von Clickjacking

Hier sind einige Beispiele, wie Clickjacking in der realen Welt funktionieren kann:

• Der Nutzer erhält eine E-Mail von einer vermeintlich seriösen Social-Media-Seite wie Facebook. Sie klicken auf den Link, der sie zu einer gefälschten Seite führt, in die die echte Facebook-Seite eingebettet ist. Der Benutzer versucht, sich bei seinem Facebook-Konto anzumelden, indem er seine Anmeldeinformationen in die Felder eingibt. Die gefälschte Website verfügt jedoch über unsichtbare Felder, die die Facebook-Felder überlagern und es dem Cyberkriminellen ermöglichen, die Anmeldeinformationen des Nutzers zu stehlen.
• Der Nutzer sieht eine Anzeige, die anscheinend von einem bekannten Bankunternehmen wie Chase geschaltet wird. Sie beschließen, ein Konto zu eröffnen, und klicken auf die Anzeige, die sie auf eine gefälschte Website mit der eingebetteten Chase-Website führt. Sie versuchen, ein Konto zu erstellen, indem sie sensible Informationen wie ihre Sozialversicherungsnummer eingeben. Unsichtbare Felder, die die echten Felder überlagern, kopieren jedoch die Informationen und senden sie an den Cyberkriminellen.
• Ein Pop-up erscheint, während ein Benutzer auf einer Website navigiert. Der Benutzer klickt auf das „X“, um das Popup zu schließen, aber das „X“ ist in Wirklichkeit ein Download-Link, der bösartige Software auf dem Computer des Benutzers installiert.

Die Auswirkungen von Clickjacking

Wenn ein Clickjack erfolgreich ist, kann der Cyberkriminelle Informationen wie PII oder Anmeldeinformationen stehlen oder Malware auf Ihrem Gerät installieren. Es könnte sich um jede Art von Malware handeln, einschließlich Spyware oder Keylogger, d. h. Malware, die Passwörter aus Ihrem Browser stiehlt.

Egal, ob Cyberkriminelle selbst Daten stehlen oder Software installieren, die Daten für sie stiehlt, das Ziel ist es, Ihre Daten entweder an andere Cyberkriminelle zu verkaufen oder die Daten zu nutzen, um Geld oder Ihre Identität zu stehlen.

Es kann schwierig und kostspielig sein, nachzuweisen, dass Ihre Identität gestohlen wurde oder dass jemand Ihr Bankkonto übernommen hat. Es kann Jahre dauern, sich von dieser Art von Angriffen vollständig zu erholen.

Verhindern von Clickjacking-Angriffen

Die Verhinderung von Clickjacking-Angriffen liegt in der Verantwortung des Eigentümers der Website, auf der Clickjacking stattfinden kann. Es gibt Methoden, mit denen Cyberkriminelle daran gehindert werden können, eine legitime Website in eine gefälschte Website einzubetten, z. B. die Verwendung von X-Frame-Optionen, d. h. Code, der verhindert, dass Websites in einen Frame eingebettet werden. Dies wäre ein großes Hindernis für einen erfolgreichen Clickjack.

Website-Eigentümer sollten auch potenzielle Werbetreibende auf ihrer Website sorgfältig überprüfen. Sie sollten sicherstellen, dass alle auf ihrer Website geschalteten Anzeigen legitim sind und nicht zu Clickjacking führen.

So können sich Benutzer schützen

Auch wenn die Eigentümer der Websites für den Schutz der Benutzer verantwortlich sind, machen sie manchmal Fehler. Glücklicherweise können grundlegende Tipps zur Internetsicherheit dazu beitragen, Sie vor Clickjacking zu schützen.

• Browsen Sie auf vertrauenswürdigen Websites. Bekannte und stark frequentierte Websites bieten ihren Nutzern mit größerer Wahrscheinlichkeit einen angemessenen Schutz vor Angriffen wie Clickjacking.
• Navigieren Sie zu Websites mit der offiziellen URL. Wenn Sie unsicher sind, googeln Sie die Website. Die legitime URL, auch Website-Adresse genannt, sollte das erste Ergebnis der Suchmaschine sein.
• Vermeiden Sie es, auf Pop-ups zu klicken. Da jeder Klick zum Herunterladen von Malware führen kann, ist es am sichersten, das Browserfenster zu schließen, um ein Pop-up zu verlassen.
• Prüfen Sie die Rechtmäßigkeit von dringenden E-Mails und SMS. Cyberkriminelle verwenden oft eine Sprache, die ein Gefühl der Dringlichkeit vermittelt. Das soll Sie davon abhalten, innezuhalten und zu prüfen, ob eine Nachricht legitim ist. Wenden Sie sich immer direkt an den vermeintlichen Absender mit offiziellen Kontaktinformationen, um zu prüfen, ob die Nachricht wirklich von ihm stammt.
• Laden Sie Apps oder Dateien von vertrauenswürdigen Stellen herunter. Zufällige Links im Internet zum Herunterladen von Dateien oder Apps enthalten möglicherweise Malware. Laden Sie Apps immer aus dem offiziellen Apple App Store oder Google Play Store herunter, auch wenn sie teurer sind.
• Seien Sie misstrauisch, wenn die Anzeigen zu gut sind, um wahr zu sein. Cyberkriminelle verleiten Nutzer oft dazu, auf ihre Anzeigen zu klicken, die auf gefälschte Websites weiterleiten, indem sie ihnen scheinbar tolle Angebote machen, z. B. hohe Rabatte auf teure, beliebte Artikel.
• Verwenden Sie einen Password Manager. Viele Password Manager verfügen über eine Funktion zum automatischen Ausfüllen, die nur mit der URL funktioniert, die Sie mit dem Passwort speichern. Wenn Sie sich auf einer gefälschten Website eines Unternehmens befinden, bei dem Sie ein Konto haben, füllt Ihr Password Manager Ihre Anmeldeinformationen nicht automatisch aus und Sie wissen, dass die Website nicht legitim ist.

Bleiben Sie wachsam, um zu vermeiden, dass Sie zum Opfer werden

Clickjacking ist nur eine Möglichkeit, wie Cyberkriminelle Sie angreifen können. Die Einhaltung von Best Practices im Bereich der Cybersicherheit und das Verfolgen aktueller Nachrichten im Bereich der Cybersicherheit können Ihnen helfen, sich über die neuesten Cyberbedrohungen zu informieren und gleichzeitig Ihre Daten und Ihre Identität zu schützen.