Clickjacking Was ist das und wie können Sie es vermeiden?
Wenn es darum geht, wie Hacker und Malware-Verteiler Zugriff auf Ihren Computer erhalten, gibt es einige Dinge, über die viel geredet wird: Social Engineering Was ist Social Engineering? [MakeUseOf erklärt] Was ist Social Engineering? [MakeUseOf erklärt] Sie können die stärkste und teuerste Firewall der Branche installieren. Sie können die Mitarbeiter über grundlegende Sicherheitsverfahren und die Wichtigkeit der Wahl sicherer Kennwörter informieren. Sie können sogar den Serverraum sperren - aber wie… Lesen Sie weiter, SQL-Injection Was ist eine SQL-Injection? [MakeUseOf erklärt] Was ist eine SQL-Injektion? [MakeUseOf erklärt] Die Welt der Internetsicherheit ist mit offenen Ports, Hintertüren, Sicherheitslücken, Trojanern, Würmern, Firewall-Sicherheitslücken und einer Reihe anderer Probleme geplagt, die uns jeden Tag auf Trab halten. Für Privatanwender… DDoS-Angriffe Was ist ein DDoS-Angriff? [MakeUseOf erklärt] Was ist ein DDoS-Angriff? [MakeUseOf Explains] Der Begriff DDoS pfeift immer dann vorbei, wenn der Cyberaktivismus seinen Kopf massiv aufbaut. Diese Art von Angriffen führt aus verschiedenen Gründen zu internationalen Schlagzeilen. Die Probleme, die diese DDoS-Angriffe begünstigen, sind oft kontrovers oder sehr… Lesen Sie mehr und so weiter. Aber über einen Angriff, über den nicht so viel geredet wird, ist er genauso schändlich wie die anderen Clickjacking.
Clickjacking ist schwer zu erkennen, kann sich auf jeden auswirken und erstreckt sich auf eine Vielzahl von Betriebssystemen und Anwendungen. Hier erfahren Sie, was Sie über Clickjacking wissen müssen, einschließlich, was es ist, wo Sie es sehen und wie Sie sich dagegen schützen können.
Was ist Clickjacking??
Wie Sie dem Namen entnehmen können, handelt es sich bei Clickjacking um einen Vorgang, bei dem der Mausklick eines Benutzers auf einem Computer gekapert wird (es kann auch zum Hijacken von Tastatureingaben verwendet werden “Keystrokejacking” ist viel schwieriger zu sagen). Es gibt verschiedene Möglichkeiten, wie dieser Prozess ablaufen kann, aber alle haben eines gemeinsam: Ein Benutzer glaubt, dass er auf eine Sache klickt. In Wirklichkeit klicken sie auf etwas anderes.
Viele Clickjacking-Angriffe umfassen eine transparente Benutzeroberfläche, die über einer anderen Benutzeroberfläche platziert wird, die der Benutzer erwartet (weshalb) “UI-Korrektur” ist ein anderer Name für diese Methode). Wenn der Benutzer der Meinung ist, dass er auf etwas klickt, klickt er tatsächlich auf etwas anderes, das er nicht sehen kann. Sie denken vielleicht, dass Sie auf einen Link klicken, der Sie für einen coolen Newsletter anmeldet. Lernen Sie etwas Neues mit 10-Worth-It-E-Mail-Newslettern Lernen Sie etwas Neues mit 10-Worth-It-E-Mail-Newslettern Sie werden überrascht sein, welche Qualität die Newsletter heute haben. Sie feiern ein Comeback. Abonnieren Sie diese zehn fantastischen Newsletter und finden Sie heraus, warum. Lesen Sie mehr, wenn Sie tatsächlich auf eine Schaltfläche klicken, über die ein Cyberkrimineller beispielsweise auf Ihr E-Mail-Konto zugreifen kann.
Eine andere Angriffsart ändert die tatsächliche Position des Cursors des Benutzers, lässt die Anzeige jedoch unberührt, sodass der Cursor so aussieht, als wäre er an einer Stelle, tatsächlich aber an einer anderen. Klingt, als wäre es nur ein großes Ärgernis, aber es kann verwendet werden, um Menschen dazu zu bringen, auf Dinge zu klicken, die sensible Informationen preisgeben. 10 Informationen, die verwendet werden, um Ihre Identität zu stehlen 10 Informationen, die dazu verwendet werden, Ihre Identität zu stehlen Für das US-Justizministerium kostete Identitätsdiebstahl im Jahr 2012 mehr als 24 Milliarden US-Dollar für Opfer von Identitätsdiebstahl. Diese 10 Informationen suchen die Diebe… Lesen Sie mehr .
Einige andere kreative Angriffe fallen auch unter das Clickjacking. Bei einem kürzlich erfolgten Angriff wurde beispielsweise Malware verwendet, um die Suchanfragen der Nutzer in Bing, Google und Yahoo auf angepasste (und betrügerische) Ergebnisseiten umzuleiten, die voll von Google-AdSense-Anzeigen waren. Die Nutzer klickten auf die Anzeigen und dachten, sie seien legitime Suchergebnisse, und die Angreifer würden bezahlt.
Einige Leute setzen sogar Angriffe vom Social-Engineering-Typ in das Clickjacking ein. 2009 wurde beispielsweise ein Tweet um Twitter herumgespielt “Klicken Sie nicht auf” und enthalten einen Link. Immer wenn jemand auf den Link geklickt hat, wird dasselbe von seinem Konto aus getwittert. Ähnliche Techniken Fünf Facebook-Bedrohungen, die Ihren PC infizieren können, und wie sie funktionieren Fünf Facebook-Bedrohungen, die Ihren PC infizieren können, und deren Funktionsweise Lesen Sie mehr, um Links zu generieren, die auf Facebook Geld generieren.
Clickjacking beschränkt sich jedoch nicht nur auf Websites und Apps, bei denen Benutzer eine Maus haben. Es kann auch auf mobilen Geräten vorkommen. Ein aktuelles Beispiel ist Android.Lockdroid.E, ein Stück Android-Ransomware Malware auf Android: Die 5 Arten, die Sie wirklich über Malware wissen müssen: Die 5 Arten, die Sie wirklich über Malware wissen müssen, können sowohl mobile Geräte als auch Desktop-Geräte betreffen . Aber keine Angst: Ein bisschen Wissen und die richtigen Vorsichtsmaßnahmen können Sie vor Bedrohungen wie Ransomware und Sextortion-Betrug schützen. Lesen Sie mehr, dass Clickjacking (oder “Touchjacking,” Wenn Sie möchten, erwerben Sie Administratorrechte auf dem Zielgerät. Wir haben vor kurzem von der Sicherheitsanfälligkeit "Accessibility Clickjacking" auf Android erfahren. Wie können Android Accessibility Services zum Hacken Ihres Telefons verwendet werden? Wie Android Accessibility Services zum Hacken Ihres Telefons verwendet werden können? Sicherheitsforscher haben in den Accessibility Services von Android Sicherheitslücken entdeckt, die dies zulassen könnten ein Angreifer, um die Kontrolle über das Gerät zu erlangen. Mal sehen, wie Sie das verhindern können. Lesen Sie mehr Smartphones und Tablets.
Was können Sie tun, um Clickjacking zu verhindern?
Leider können Sie nicht viel tun, um Clickjacking zu verhindern, es sei denn, Sie sind Website-Administrator. Die am häufigsten empfohlene Methode, um sich beim Surfen zu schützen, ist die Verwendung von NoScript, dem Firefox-Add-On, das verhindert, dass Skripts ohne Ihre ausdrückliche Genehmigung geladen werden. NoScript verfügt über einige spezielle Anti-Clickjacking-Funktionen und ist wirklich gut darin, die Art von Skripts zu erkennen, die transparente Overlays auf Websites erzeugen.
Ähnliche Erweiterungen, die Sie verwenden können, um das Laden von Skripts oder Apps zu verhindern. Kontrollieren Sie Ihren Webinhalt: Wesentliche Erweiterungen zum Blockieren von Tracking und Skripts Kontrollieren Sie Ihren Webinhalt: Wesentliche Erweiterungen zum Blockieren von Tracking und Skripts Die Wahrheit ist, dass immer jemand oder etwas überwacht Internetaktivitäten und -inhalte. Je weniger Informationen diese Gruppen zulassen, desto sicherer sind wir. Mehr lesen bietet auch einen gewissen Schutz.
Die besten Abwehrmechanismen gegen Clickjacking müssen jedoch von Site-Admins kommen. Viele der Abwehrmechanismen sind eher technisch. Wenn Sie genau wissen möchten, wie Sie diese implementieren möchten, empfehle ich Ihnen das Clickjacking Defense Cheat Sheet von OWASP.
Eine der besten Möglichkeiten, Clickjacking auf Ihrer Site zu verhindern, besteht darin, einen HTTP-Header mit x-frame-options aufzunehmen, der das Laden des Inhalts Ihrer Site in einen Frame verhindert ( tag) oder iframe (
Cross-Site-Scripting verhindern Was ist Cross-Site Scripting (XSS) und warum ist es eine Sicherheitsbedrohung? Was ist Cross-Site Scripting (XSS)? Warum ist es eine Sicherheitsbedrohung? Cross-Site Scripting-Sicherheitsanfälligkeiten sind heute das größte Sicherheitsproblem für Websites. Studien haben gezeigt, dass sie schockierend häufig sind. Laut dem letzten im Juni veröffentlichten Bericht von White Hat Security, der im Juni veröffentlicht wurde, hatten 55% der Websites XSS-Schwachstellen. XSS (XSS) wird auch dazu beitragen, die Wahrscheinlichkeit eines Clickjacking-Angriffs auf eine Website zu reduzieren. Da XSS auch für andere Angriffe verwendet wird, ist es trotzdem ratsam, sich dagegen zu schützen.
Um die Wahrscheinlichkeit eines Clickjacking-Angriffs auf Ihrem Mobilgerät zu minimieren, sollten Sie sich darauf beschränken, nur Apps von vertrauenswürdigen Quellen wie dem Apple App Store oder dem Google Play Store herunterzuladen. Dies ist zwar keine Garantie dafür, dass Sie frei von Angriffen sind, aber es ist wesentlich unwahrscheinlicher, dass diese Apps bösartigen Code enthalten als solche, die Sie von Drittanbietern erhalten.
Sie können auch die Verwendung von In-App-Browsern vermeiden, da hier häufig Touchjacking-Angriffe stattfinden. Legen Sie das Standardverhalten für das Öffnen von Links in Ihren Apps so fest, dass es nicht im In-App-Browser, sondern im Systembrowser geöffnet wird. Dadurch wird eine weitere potenzielle Schwachstelle in Ihrer Verteidigung beseitigt.
Eine echte Bedrohung
Wie bereits erwähnt, klingt Clickjacking eher nach Ärger als nach einer echten Bedrohung für Ihre Sicherheit. Wenn es jedoch effektiv eingesetzt wird, kann es Angreifern dabei helfen, sehr wichtige Informationen zu stehlen oder Zugriff auf Ihre Online-Konten zu erhalten, an denen sie ernsthaften Schaden anrichten können.
Und während die Verteidigung meistens hinter den Kulissen entstehen muss, können Sie die meisten dieser Angriffe mithilfe von Skriptblocker-Erweiterungen verhindern - wenn Sie mit diesen Add-Ons zufrieden sind, da dies ein wenig kontroverser AdBlock ist , NoScript & Ghostery - Das Trifecta des Bösen AdBlock, NoScript & Ghostery - Das Trifecta Des Bösen In den letzten Monaten wurde ich von einer großen Anzahl von Lesern kontaktiert, die Probleme hatten, unsere Guides herunterzuladen oder warum sie es nicht können sehe die Login-Buttons oder Kommentare, die nicht geladen werden; und in… Read More .
Kennen Sie Beispiele für groß angelegte Clickjacking-Angriffe oder sind Sie Opfer eines dieser Angriffe geworden? Verwenden Sie NoScript oder setzen Sie auf Ihrer eigenen Website Schutzmaßnahmen ein? Teilen Sie unten Ihre Gedanken mit!
Bildnachweis: Mozilla.
Erfahren Sie mehr über: Clickjacking, Hacking, Online-Sicherheit.