Web Application Security

Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen

Seite: 2/3

Firmen zum Thema

Ablauf einer Clickjacking-Attacke

Als Wegbereiter fürs Clickjacking dient eine Nachricht, die zum Beispiel einen Link auf kostenlose Produkte, Prominenten-News oder andere „attraktive“ Angebote enthält. Unser Adressat erhält nun eine Mail mit dem Link auf „Neueste Tipps von Krake Paul“. Klickt er auf den Link, gelangt er automatisch auf eine korrupte Zwischen-Webseite, die ihn beispielsweise mit der Frage „Glaubst Du, Paul hat wieder recht?“ nochmals zu einem Klick verleitet.

Ab jetzt ist es völlig egal, wohin der User klickt, denn hinter der gesamten Seite liegt ein unsichtbarer iFrame mit einem JavaScript, um unbemerkt dem Mauszeiger des Users zu folgen. Der Anwender wird also, egal ob er auf Ja, Nein, den Rand oder sonst einen Bereich klickt, immer den Angriff auf seine Facebook-Seite auslösen.

Weil die meisten „Facebooker“ ständig online sind, wird, nachdem der User auf die manipulierte Seite geklickt hat, in seinem Profil der gleiche Link publiziert „Neuste Tipps von Krake Paul“. Darunter der „Gefällt mir“ Button. Die Meldung mit dem Link erscheint in allen News-Feeds der Kontakte des Opfers. Klickt nun einer der Freunde auf diesen Link, wird auch er auf die Fake-Seite weitergeleitet – und der Zyklus startet von vorn.

Der „geraubte“ Klick kann darüber hinaus unterschiedliche Intentionen und Folgen haben. Der Angreifer kann Schadprogramme verbreiten oder schlicht nur nerven. Werden aber die aktuellen Möglichkeiten des Clickjacking mit ausgefeilteren Technologien wie beispielsweise Cross-Site Request Forgery (CSFR) Angriffen oder mit Trojanern kombiniert, die Passwörter auslesen, wird das potenzielle Ausmaß des Clickjacking deutlich.

Für die betroffene Anwendung ist es dabei nahezu unmöglich, festzustellen, dass die Anfrage ein Schwindel war. Denn der gesamte Vorgang ist für die Applikation, auf der die Attacke beginnt, „legal“: er wurde vom User selbst initiiert und während einer gültigen Session ausgeführt.

Die jüngste Welle von Attacken über die führende Social Media Plattform sollte IT-Chefs nun aufhorchen lassen: Obwohl Clickjacking nur über den Client läuft, kann auch auf der Server-Seite ein übersichtliches Schutzkonzept wirkungsvoll helfen und das Problem schon an der Quelle verhindern.

Inhalt

  • Seite 1: Facebook – das prominenteste Clickjacking-Opfer
  • Seite 2: Ablauf einer Clickjacking-Attacke
  • Seite 3: Client- und Server-seitige Clickjacking-Killer

(ID:2046726)