:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/a4/7f/a47fcac710f298a6a0b02668e48e2849/0111560285.jpeg "Die ersten 72 Stunden nach einem Cyberangriff sind entscheidend für die Schadensbegrenzung und Einhaltung der DSGVO. (Bild: HNFOTO - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/78/ac78d9314d428c4d1179c0729c0f2ff2/0111550886.jpeg "Das Ziel des OT-Security Events „Securing the Future“ ist es, den Teilnehmern einen guten Überblick über relevante Maßnahmen, sowie Problemstellungen und mögliche Lösungen zu geben. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/c3/46c3dd30da0f71d1dcbaaf2d8a8de7db/0111445470.jpeg "DevOps-Teams benötigen eine gewisse Flexibilität, um unabhängig von der jeweiligen Umgebung den passenden Schutz bereitzustellen. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>akitada31</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/8d/ec8d48043c61c55c45e1184eb47dc4ee/0111445864.jpeg "Lookout kündigt Mobile Endpoint Security für MSSPs an. (Bild: Wesley JvR/peopleimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/2a/c62ad7d4c50022b64fe4a5178545098f/0111500770.jpeg "Mit moderner Datensicherheit können Unternehmen auch nach einem Ransomware-Angriff die Geschäftskontinuität aufrechterhalten. (Bild: zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Web Application Security Clickjacking – Client- und Server-Systeme vor Mausklick-Raub schützen
Clickjacking ist eine besonders heimtückische Art der Internet-Attacke, denn der Nutzer bekommt davon in der Regel überhaupt nichts mit. In diesem Beitrag befassen wir uns mit der technischen Raffinesse des Mausklick-Raubs sowie möglichen Client- und Server-seitigen Gegenmaßnahmen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Im Internet ist „Ich sehe was, was Du nicht siehst” kein Kinderspiel. Wenn ein Hacker dort durch JavaScript – auch für geübte Internet-User unsichtbar – Mausklicks raubt, nennen das Experten Clickjacking.
Bei dieser etwa seit September 2008 bekannten Form der Internet-Kriminalität wird der User verführt, eine scheinbar unverfängliche Webseite zu besuchen. Entsprechende Webseiten sind so programmiert oder manipuliert, dass jeder Klick – ganz egal wohin – eine Attacke auslöst.
Facebook – das prominenteste Clickjacking-Opfer
Betroffen und gefährdet sind potenziell alle Internet-Nutzer – zuhause und am Arbeitsplatz. Auf eine Gruppe von Nutzern haben es die Kriminellen aber besonders abgesehen: Die Facebook-Gemeinde ist mit weltweit 500 Millionen Nutzern (Stand Juli 2010) nicht nur besonders groß und eng vernetzt. Ihre Mitglieder sind meist jung, schnell, vertrauen ihren Freunden und sind quasi ständig eingeloggt.
Der „Gefällt mir“-Button gehört zu den beliebtesten, millionenfach geklickten Schaltflächen im Facebook-Universum. Das ist auch den Cyberkriminellen nicht entgangen. Schauen wir uns den Prozess einer Clickjacking-Attacke also am Beispiel eines Facebook-Users an.
Inhalt
- Seite 1: Facebook – das prominenteste Clickjacking-Opfer
- Seite 2: Ablauf einer Clickjacking-Attacke
- Seite 3: Client- und Server-seitige Clickjacking-Killer
Ablauf einer Clickjacking-Attacke
Als Wegbereiter fürs Clickjacking dient eine Nachricht, die zum Beispiel einen Link auf kostenlose Produkte, Prominenten-News oder andere „attraktive“ Angebote enthält. Unser Adressat erhält nun eine Mail mit dem Link auf „Neueste Tipps von Krake Paul“. Klickt er auf den Link, gelangt er automatisch auf eine korrupte Zwischen-Webseite, die ihn beispielsweise mit der Frage „Glaubst Du, Paul hat wieder recht?“ nochmals zu einem Klick verleitet.
Ab jetzt ist es völlig egal, wohin der User klickt, denn hinter der gesamten Seite liegt ein unsichtbarer iFrame mit einem JavaScript, um unbemerkt dem Mauszeiger des Users zu folgen. Der Anwender wird also, egal ob er auf Ja, Nein, den Rand oder sonst einen Bereich klickt, immer den Angriff auf seine Facebook-Seite auslösen.
Weil die meisten „Facebooker“ ständig online sind, wird, nachdem der User auf die manipulierte Seite geklickt hat, in seinem Profil der gleiche Link publiziert „Neuste Tipps von Krake Paul“. Darunter der „Gefällt mir“ Button. Die Meldung mit dem Link erscheint in allen News-Feeds der Kontakte des Opfers. Klickt nun einer der Freunde auf diesen Link, wird auch er auf die Fake-Seite weitergeleitet – und der Zyklus startet von vorn.
Der „geraubte“ Klick kann darüber hinaus unterschiedliche Intentionen und Folgen haben. Der Angreifer kann Schadprogramme verbreiten oder schlicht nur nerven. Werden aber die aktuellen Möglichkeiten des Clickjacking mit ausgefeilteren Technologien wie beispielsweise Cross-Site Request Forgery (CSFR) Angriffen oder mit Trojanern kombiniert, die Passwörter auslesen, wird das potenzielle Ausmaß des Clickjacking deutlich.
Für die betroffene Anwendung ist es dabei nahezu unmöglich, festzustellen, dass die Anfrage ein Schwindel war. Denn der gesamte Vorgang ist für die Applikation, auf der die Attacke beginnt, „legal“: er wurde vom User selbst initiiert und während einer gültigen Session ausgeführt.
Die jüngste Welle von Attacken über die führende Social Media Plattform sollte IT-Chefs nun aufhorchen lassen: Obwohl Clickjacking nur über den Client läuft, kann auch auf der Server-Seite ein übersichtliches Schutzkonzept wirkungsvoll helfen und das Problem schon an der Quelle verhindern.
Inhalt
- Seite 1: Facebook – das prominenteste Clickjacking-Opfer
- Seite 2: Ablauf einer Clickjacking-Attacke
- Seite 3: Client- und Server-seitige Clickjacking-Killer
Aktuelle Browser-Patches installieren
Im Grunde liegt die beste Lösung, um Clickjacking zu verhindern, im Browser selbst. Seine Funktionen müssten so verbessert werden, dass er versteckte iFrames und schädliche JavaScripts aufspürt und verhindert. Die meisten der großen Browser-Anbieter haben bereits damit begonnen, Mechanismen gegen Clickjacking zu integrieren.
Der Mozilla Firefox hat das Plug-In NoScript, das verhindert, dass von untrusted Domains Skripts eingeschleust werden.
Microsoft Internet Explorer 8, Apple Safari 4 und Google Chrome 2 können prüfen, ob auf einer eigebunden Seite der HTTP-Header X-FRAME-OPTIONS existiert. Webseiten-Betreiber können dann festlegen, ob die Seite beispielsweise in einem Frame dargestellt werden darf oder nicht.
Auf den Clients sollte deshalb stets der aktuellste Browser-Patch installiert sein, damit die Fortschritte der Anbieter auch für das eigene Unternehmen genutzt werden. Doch das ist nur der Anfang. Bis die Browser zuverlässig vor Clickjacking schützen, wird noch einige Zeit vergehen. Deshalb müssen IT-Verantwortliche heute erst einmal selbst die bestmögliche Vorsorge treffen. Ein 5-Punkte-Programm reduziert die Risiken.
Anti-Spam-Maßnahmen: Clickjacking beginnt damit, dass der User auf gefährliche Webseiten gelockt wird. Das geschieht in vielen Fällen über eine Spam- oder gefälschte E-Mails Der wichtigste Ansatzpunkt ist es daher, einen wirksamen Spamschutz zu installieren, um Clickjacking schon an der Quelle abzublocken.
Web Traffic filtern: Web-Filter können potenzielle Schadseiten blockieren oder User zumindest davon abhalten, gefährliche Seiten zu besuchen, die möglicherweise Clickjacking-Code beinhalten.
Webapplikationen vor Clickjacking-Scripts schützen: Web Application Firewalls (WAF) können den gesamten Website-Inhalt nach verdächtigen Scripts durchforsten und machen es Angreifern unmöglich, die Scripts auf Ihrer Webseite einzuschleusen.
Webanwendungs-Formulare schützen: WAFs können in HTTP-Formularen Nonces (Tokens) platzieren. So wird es für Angreifer fast unmöglich, Formular-Updates durchzuführen. WAFs können auch den Input von Formular-Parametern prüfen, um schädlichen Input fernzuhalten, der an die Web-Server geschickt wird.
Nutzer regelmäßig ausloggen: Webapplikationen, bei denen der User ständig eingeloggt bleiben kann – wie im Falle von Facebook – sind sehr anfällig für Clickjacking-Attacken. Deshalb sollten Anwender in regelmäßigen Abständen abgemeldet werden.
„Traue keinem Client“, lautet ein Mantra von Webprogrammierern – und Clickjacking bestätigt es: Die Attacke wird vom User nur angestoßen und läuft dann ausschließlich über den Client. Doch Maßnahmen in der Netzwerk-Infrastruktur können Clients wirksam davor schützen, überhaupt in die Falle zu laufen. „Ich sehe was, was du nicht siehst“ kann dann der Hacker dann mit sich alleine spielen.
Dr. Wieland Alge ist Geschäftsführer DACH bei Barracuda Networks.
Inhalt
- Seite 1: Facebook – das prominenteste Clickjacking-Opfer
- Seite 2: Ablauf einer Clickjacking-Attacke
- Seite 3: Client- und Server-seitige Clickjacking-Killer
(ID:2046726)
:quality(80)/images.vogel.de/vogelonline/bdb/1941600/1941645/original.jpg "Das Dark Web ist ein anonymer, verschlüsselter und vor Suchmaschinen verborgener Teil des Internets, der meist nur mit spezieller Software erreichbar ist. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1951700/1951732/original.jpg "HTML Smuggling umgeht Sicherheitslösungen im Netzwerk. Dazu wird schädlicher HTML-Code hinter der Firewall und im Browser von Anwendern generiert. (Myst - stock.adobe.com)")