Alle blogs bekijken

Wat is clickjacking?

Cybersecurity

Gepubliceerd op juli 24, 2023

Geschreven door Aranza Trevino

Bewerkt door Anne Cutler

Beoordeeld door Darren Guccione

Clickjacking, ook wel een clickjacking-aanval of clickjack genoemd, is een soort cyberaanval waarbij verborgen links gebruikers ertoe verleiden om onbedoelde acties uit te voeren en op die manier vertrouwelijke gegevens te stelen.

Lees verder voor meer informatie over wat clickjacking is en hoe het werkt.

Wat is clickjacking

Bij een clickjack klikken gebruikers op een link, waardoor er iets anders gebeurt dan zij verwachtten. Dit betekent dat cybercriminelen u kunnen misleiden om kwaadaardige software te downloaden (ook wel malware genoemd), waardoor u per ongeluk gevoelige persoonlijk identificeerbare gegevens (PII) deelt of andere ernstige gevolgen ondervindt.

Via clickjacking worden verschillende vormen van cyberaanvallen in gang gezet. Clickjacking is soms moeilijk te herkennen en kan ertoe leiden dat cybercriminelen uw wachtwoorden of gevoelige gegevens stelen, zoals bankrekeningen, creditcardgegevens en uw burgerservicenummer. Uiteindelijk is het doel deze gegevens te verzamelen om geld van u te stelen, uw accounts over te nemen of uw identiteit te stelen.

Zo werkt clickjacking

Cybercriminelen gebruiken clickjacking om u te misleiden door te manipuleren wat u op uw scherm ziet. Ze vermommen onzichtbare velden als het ware met legitiem uitziende velden om u te verleiden tot schijnbaar legitieme en veilige acties. Dit kan gebeuren met een hele website of alleen een pop-up. Soms verwerkt een hacker een legitieme website in zijn eigen site, zodat deze niet van echt te onderscheiden is. Dit wordt ook wel een gespoofte website genoemd.

U gelooft dat u zich op een legitieme site bevindt, klikt ergens op en voert uw inloggegevens of andere vertrouwelijke informatie in. U denkt dat u een legitieme actie uitvoert, maar de onzichtbare velden zullen ervoor zorgen dat u zonder dat u het in de gaten hebt malware downloadt of uw gegevens onbewust naar cybercriminelen stuurt.

Op deze afbeelding ziet u hoe clickjacking werkt.

Cybercriminelen leiden u naar hun nagemaakte interface door middel van nepadvertenties die er echt uitzien, door u nepe-mails of tekstberichten te sturen, te posten op sociale media of door geïnfecteerde pop-ups te laten zien.

Voorbeelden van clickjacking

Hier volgen enkele voorbeelden van hoe clickjacking eruit zou kunnen zien:

De gebruiker krijgt een e-mail van een schijnbaar legitiem platform, zoals Facebook. Hij of zij klikt op de link, waardoor een nepsite verschijnt waar de echte site van Facebook als het ware overheen geplaatst is. De gebruiker probeert in te loggen op zijn of haar Facebook-account en voert de inloggegevens in. De nepsite heeft echter onzichtbare velden over de velden van Facebook heen geplaatst, waardoor de gebruiker zijn of haar inloggegevens naar de cybercrimineel stuurt.
De gebruiker ziet een advertentie die lijkt te worden aangeboden door een bekende bank, zoals de Rabobank. De bezoeker van de site maakt een account aan en klikt op de advertentie die naar een nepwebsite leidt waar de website van de Rabobank in is verwerkt. Om het account te activeren vult de gebruiker vertrouwelijke gegevens in, zoals zijn of haar burgerservicenummer. Onzichtbare velden die over de echte velden heen liggen, zullen de gegevens echter kopiëren en naar de cybercrimineel sturen.
Er verschijnt een pop-up terwijl de gebruiker op een website navigeert. De gebruiker klikt op de ‘X’ om de pop-up te sluiten, maar achter de ‘X’ zit een linkje dat kwaadaardige software op de computer van de gebruiker die erop klikt, installeert.

De impact van clickjacking

Als een clickjack slaagt, kan de cybercrimineel gegevens stelen, zoals PII of inloggegevens. Ook kan deze malware op uw apparaat installeren. Dat kan elke vorm van malware zijn, inclusief spyware of een keylogger. Deze vormen van malware stelen wachtwoorden via uw browser.

Of cybercriminelen nu zelf gegevens stelen of software installeren die dat voor hen doet, het doel is uiteindelijk altijd om uw gegevens aan andere cybercriminelen te verkopen of om geld of uw identiteit te stelen.

Het kan lastig en duur zijn om te bewijzen dat uw identiteit is gestolen of dat iemand uw bankrekening heeft gekraakt. Het kan jaren duren voordat u volledig bent hersteld van dit soort aanvallen.

Voorkomen van clickjacking

U bent zelf verantwoordelijk voor het voorkomen van clickjacking van de website waarop clickjacking kan plaatsvinden. Er zijn methoden om te voorkomen dat cybercriminelen een legitieme site over een nepsite plaatsen, denk aan X-frames. Daarbij gebruiken zij code die voorkomt dat websites in een frame worden ingebed. Dit belemmert een succesvolle clickjack.

Website-eigenaren moeten ook zorgvuldig onderzoeken welke organisaties op hun site adverteren. Ze moeten ervoor zorgen dat alle advertenties op hun site legitiem zijn en niet betrokken zijn bij clickjacking.

Zo kunnen gebruikers zichzelf beschermen

Website-eigenaren moeten de gebruikers beschermen, maar dat lukt niet altijd even goed. Gelukkig kunt u zich aan de hand van een aantal eenvoudige tips beschermen tegen clickjacking.

Surf alleen op vertrouwde websites. Bekende en veelgebruikte sites beschermen hun gebruikers beter tegen aanvallen zoals clickjacking.
Ga naar websites via de officiële URL. Twijfelt u, zoek de website dan op via Google. De legitieme URL, ook wel het websiteadres genoemd, moet het eerste resultaat in de zoekmachine zijn.
Klik niet op pop-ups. Omdat u met één enkele klik ongewild malware kunt downloaden, kunt u het beste een pop-up sluiten door het pop-upvenstertje van de browser te sluiten.
Ga na of dringende e-mails en sms-berichten echt zijn. Cybercriminelen hanteren vaak taalgebruik dat een gevoel van urgentie creëert om te voorkomen dat u de tijd neemt om te controleren of een bericht echt is. Neem altijd rechtstreeks contact op met de vermeende afzender via diens officiële contactgegevens en ga na of het bericht echt van deze afzender afkomstig is.
Download apps of bestanden vanaf betrouwbare bronnen. Willekeurige links waarmee u bestanden of apps kunt downloaden, bevatten mogelijk malware. Download apps altijd uit de officiële Apple App Store of Google Play Store, zelfs als ze daar duurder zijn.
Wees op uw hoede voor advertenties die te mooi zijn om waar te zijn. Cybercriminelen verleiden gebruikers vaak op hun advertenties die naar nepsites worden omgeleid te klikken, door middel van schijnbaar ongelooflijke aanbiedingen, zoals hoge kortingen op dure, populaire artikelen.
Gebruik een wachtwoordmanager. Veel wachtwoordmanagers hebben een functie die wachtwoorden automatisch invult op basis van de URL waarbij u het wachtwoord opslaat. Als u zich op een gespoofte website van een bedrijf bevindt waar u een account heeft, vult uw wachtwoordmanager uw inloggegevens niet automatisch in en weet u dat de site niet legitiem is.

Blijf waakzaam en voorkom dat u hier slachtoffer van wordt

Clickjacking is slechts één manier die cybercriminelen kunnen gebruiken om u aan te vallen. Als u goede gewoonten voor cybersecurity gebruikt en het nieuws over cybersecurity bijhoudt, blijft u op de hoogte van de nieuwste ontwikkelingen op het gebied van cybersecurity. Op deze manier doet u er alles aan om uw gegevens en identiteit te beschermen.

Aranza Trevino

Door Aranza Trevino

Aranza Trevino is de Sr. SEO-contentspecialist bij Keeper Security. Ze is een ervaren trend- en gegevensanalist op het gebied van cybersecurity die kennis blijft vergaren over de sector om lezers te informeren via haar blog. De blogs van Aranza zijn bedoeld om het publiek en bedrijven te helpen het belang van wachtwoordbeheer, wachtwoordbeveiliging en bescherming tegen cyberbedreigingen beter te begrijpen. Aranza heeft een B.S. in digitale marketing van de DePaul University.