Web Application Security

Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen

20.08.2010 | Autor / Redakteur: Wieland Alge / Stephan Augsten

Hinterhältig: Clickjacking lässt sich nur schwer erkennen, aber immerhin verhindern.
Hinterhältig: Clickjacking lässt sich nur schwer erkennen, aber immerhin verhindern.

Clickjacking ist eine besonders heimtückische Art der Internet-Attacke, denn der Nutzer bekommt davon in der Regel überhaupt nichts mit. In diesem Beitrag befassen wir uns mit der technischen Raffinesse des Mausklick-Raubs sowie möglichen Client- und Server-seitigen Gegenmaßnahmen.

Im Internet ist „Ich sehe was, was Du nicht siehst” kein Kinderspiel. Wenn ein Hacker dort durch JavaScript – auch für geübte Internet-User unsichtbar – Mausklicks raubt, nennen das Experten Clickjacking.

Bei dieser etwa seit September 2008 bekannten Form der Internet-Kriminalität wird der User verführt, eine scheinbar unverfängliche Webseite zu besuchen. Entsprechende Webseiten sind so programmiert oder manipuliert, dass jeder Klick – ganz egal wohin – eine Attacke auslöst.

Facebook – das prominenteste Clickjacking-Opfer

Betroffen und gefährdet sind potenziell alle Internet-Nutzer – zuhause und am Arbeitsplatz. Auf eine Gruppe von Nutzern haben es die Kriminellen aber besonders abgesehen: Die Facebook-Gemeinde ist mit weltweit 500 Millionen Nutzern (Stand Juli 2010) nicht nur besonders groß und eng vernetzt. Ihre Mitglieder sind meist jung, schnell, vertrauen ihren Freunden und sind quasi ständig eingeloggt.

Der „Gefällt mir“-Button gehört zu den beliebtesten, millionenfach geklickten Schaltflächen im Facebook-Universum. Das ist auch den Cyberkriminellen nicht entgangen. Schauen wir uns den Prozess einer Clickjacking-Attacke also am Beispiel eines Facebook-Users an.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2046726 / Mobile- und Web-Apps)