Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Clickjacking: Definition, Abwehr & Prävention

Aktualisiert: 01. September 2024 Lesezeit: ~

Topics

General Web, Cloud Security, Cybersecurity, Phishing Resistance, Security

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Clickjacking liegt vor, wenn ein Hacker Hyperlinks hinter für den Benutzer sichtbaren Inhalten versteckt, um Klicks zu stehlen.

Ein Clickjacking-Angriff beginnt mit einer Täuschung. Sie stoßen auf ein Formular, eine Schaltfläche oder ein anderes Element, das Sie manipulieren können. Wenn Sie auf dieses Element klicken, wird eine Aktion ausgeführt, die Sie nie beabsichtigt haben. 

Angenommen, auf einer Website wird ein Popup-Bildschirm angezeigt, und auf einer großen Schaltfläche wird die Meldung "Klicken, um dieses Fenster zu schließen" angezeigt. Wenn Sie auf diese Schaltfläche tippen, gefällt Ihnen auch die Facebook-Seite des Unternehmens, obwohl Sie dies nie beabsichtigt haben. 

Clickjacking-Angriffe können dazu führen, dass Sie:

  • Malware herunterladen 
  • Geben Sie geschützte Informationen weiter
  • Geld überweisen
  • Produkte kaufen
  • Bieten Sie unerwünschten Social Proof an 

Als IT-Verbraucher ist es wichtig zu verstehen, wie diese Angriffe funktionieren und wie Sie sich schützen können. Für Sie als IT Experte ist es von entscheidender Bedeutung, Websites zu erstellen, die gegen gängige Clickjacking-Ansätze resistent sind.

Was ist Clickjacking?

Ein Hacker erstellt eine harmlos wirkende webbasierte Seite, einen Button oder ein Formular. Der Artikel besteht aus mehreren Integrationen. Die Version, die Sie sehen, scheint harmlos genug zu sein. Aber ein Integrate darunter enthält Code, der Ihnen schaden kann. 

Betrachten Sie dieses reale Clickjacking-Beispiel von Facebook:
 

  • Köder. Der Entwickler hat eine webbasierte Seite mit lustigen Bildern erstellt und die Leute aufgefordert, durchzuklicken, um sie anzusehen. 
  • Hook. Als Besucher die Seite aufriefen, wurde ihnen ein Bildschirm angezeigt, auf dem sie bestätigen mussten, dass sie mindestens 16 Jahre alt waren. 
  • Schalter. Durch Klicken auf "Ja" konnten die Personen die Website betreten. Sie haben aber auch gleichzeitig einen Link zum Inhalt auf ihrer Facebook-Pinnwand gepostet. 

In diesem Beispiel hatten die Personen nicht die Absicht, den Beitrag auf Facebook zu teilen. Aber der Angriff hat ihren Klick auf "Ja" gekapert.

Dieses visuelle Diagramm erklärt, wie das Konzept funktioniert: https://www.imperva.com/learn/wp-content/uploads/sites/13/2019/01/Clickjacking.png.webp

Wie funktioniert Clickjacking?

Integration, Täuschung und Programmierung ermöglichen Clickjacking-Angriffe. Leider ist die Technik weit verbreitet. Analysten sagen, dass zwei Drittel der 20 größten Banking-Websites anfällig für diese Form von Hack sind. 

Zu den gängigen Clickjacking-Techniken gehören:

  • Browserlos. Hacker verwenden Mobilgeräte, um einen Angriff auszuführen. Eine winzige Verzögerung zwischen der Aktion einer Person und der Antwort des Servers ermöglicht Manipulationen. 
  • Klassisch. Versteckte Integrationen auf webbasierten Seiten übernehmen die Aktionen eines Benutzers. 
  • Cookiejacking. Ein Benutzer interagiert mit einem scheinbar harmlosen Objekt, und der Hacker erhält Zugriff auf die Cookies des Benutzers von allen anwendbaren Webbrowsern. Cookies enthalten eine große Menge an Daten, so dass dies ein verheerender Angriff sein kann. 
  • Cursorjacking. Ein Hacker ändert die Funktionsweise eines Cursors, und der Hacker könnte sich im folgenden Chaos Zugriff auf die Kamera des Benutzers verschaffen. 
  • Dateidiebstahl. Der Hacker erlangt umfassende Kontrolle über Ihr Gerät und verwandelt es in einen Dateiserver. 
  • Wie Diebstahl. Der Hacker bringt Sie dazu, ein Facebook- oder ein anderes Social-Media-Konto zu liken. 

Der Code hinter Clickjacking ist ausgeklügelt. Diese Angriffe werden nicht von Amateuren erstellt oder ausgeführt. 

Die besten Clickjacking-Angriffe sind zudem für den Benutzer unsichtbar, sodass Sie möglicherweise erst dann erfahren, dass jemand die Kontrolle über Ihr Gerät, Ihre Daten oder beides hat, wenn es zu spät ist. 

6 Techniken zur Verhinderung von Clickjacking 

Sie möchten, dass jede Aktion, die Sie auf einer Website ausführen, sinnvoll und nützlich ist. Und als Designer möchten Sie, dass Ihre Besucher Ihnen und Ihrer Arbeit vertrauen. Der Einsatz von Präventionsinstrumenten kann Ihnen helfen, beide Ziele zu erreichen. 

Blockieren Sie Clickjacking-Angriffe mit:

  1. Sichere Browser. Einige Unternehmen entwickeln strenge, maßgeschneiderte Programme, die die üblichen Clickjacking-Risiken eliminieren. Recherchieren Sie, welche Browser diese Bedrohung berücksichtigen. Und stellen Sie als Designer oder Entwickler sicher, dass Ihre Websites in diesen alternativen Browsern funktionieren. 
  2. Framekiller. Nutzen Sie dieses JavaScript Tool auf Ihren webbasierten Seiten, um sicherzustellen, dass Dritte Ihre Klicks nicht stehlen können. 
  3. GuardedID. GuardedID, das als "Software zur Verschlüsselung von Tastenanschlägen" bezeichnet wird, zielt darauf ab, Clickjacking zu eliminieren. Die Software funktioniert sowohl auf PCs als auch auf Macs. 
  4. Kreuzungsbeobachter. Diese API macht Klickaktionen sichtbar, sodass die Leute über die Informationen verfügen, die sie benötigen, um online kluge Entscheidungen zu treffen. 
  5. Browser Erweiterung. Kunden können NoClickjack in Chrome oder NoScript in Firefox verwenden, um Angriffe beim Surfen im Internet zu verhindern. 
  6. X-Frame-Optionen. Verwenden Sie diese HTTP-Überschrift , wenn Sie Ihre Website gestalten. Teilen Sie dem Browser mit, ob die Seite als Frame, iframe, Einbetten oder Objekt gerendert werden soll. 

Entwickler und Verbraucher streiten sich darüber, welcher Ansatz am effektivsten ist. Einige schwören zum Beispiel auf X-Frames, da sie der Meinung sind, dass die Prävention vom Entwickler und nicht von den Verbrauchern kommen sollte. Andere sagen jedoch, dass X-Frames mit zu vielen Einschränkungen verbunden sind, um effektiv zu sein. Versierte Programmierer können fast jedes Hindernis umgehen. 

Letztendlich ist die Kombination Ihrer Tools und die Ermutigung Ihrer Kunden, über die von ihnen besuchten Websites und die Arbeit, die sie online leisten, wachsam zu sein, der beste Weg, um Hacker zu blockieren, bevor sie die Kontrolle übernehmen.

Mehr Sicherheitsoptionen durch Okta

Stellen Sie sicher, dass Sie Ihren Mitarbeitern einen sicheren Raum für ihre elektronische Arbeit geben. Nutzen Sie unsere Plattform, um Anmeldung, Authentifizierung und Autorisierung zu verwalten.

Mehr erfahren.

Referenzen

Der Clickjacking-Bug, den Facebook nicht beheben wird. (Dezember 2018). Blinkender Computer. 

Clickjacking bedroht zwei Drittel der Top-20-Bankenseiten. (November 2020). Informationssicherheit. 

Framekiller. PC. 

Geschützte ID. Einsatztruppe. 

Vertrauen ist gut, Beobachtung ist besser: Intersection Observer v2. (Februar 2021). webbasiert.Dev. 

NoClickJack. Chrome webbasiert Store. 

Kein Drehbuch. Informieren Sie über Open-Source-Software. 

X-Frame-Optionen. Mozilla. 

Clickjacking-Angriff auf Facebook: Wie ein winziges Attribut das Unternehmen retten kann. (Januar 2019). Sicherheitsboulevard.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt