Clickjacking – Wie ich dich dazu brachte meine Seite auf Facebook zu „liken“

clickjacking

Wenn du diesen Artikel direkt nach dem Betrachten meiner „Startseite“ siehst wurdest du soeben ge-Clickjacked.
Nun keine Sorge, auch wenn es sich schlimm anhören mag ist eben nichts schlimmes passiert. Aber gehen wir die Sache einmal langsam an.

Was ist Clickjacking?
Clickjacking ist eine Technik bei der ein „Angreifer“ (in diesem Falle ich) die Darstellung einer Webseite so bearbeitet dass der normale Nutzer einen vermeindlich harmlosen Mausklick durchführt, dabei jedoch im Hintergrund eine andere, oft unerwünschte Funktion ausführt.
Dies wird dadurch bewerkstelligt indem dargestellte Objekte überlagert oder ausgeblendet werden. Tatsächlich wird jedoch genau dieses versteckte Objekt / die versteckte Funktion durch den Benutzer ausgelöst. Während der Benutzer nun denkt er würde zum Beispiel einen harmlosen Link anklicken ändert er in Wirklichkeit Einstellungen oder lässt den Angreifer auf angeschlossene Geräte wie zum Beispiel Kamera oder Mikrofon zugreifen.
Ein potentieller Angreifer könnte somit sein Opfer beobachten oder belauschen ohne dass dieses etwas davon bemerkt.

Verbreitung
Die Verbreitung solcher Clickjacking-Seiten geschieht meistens über sogenannte Soziale Netzwerke wie Facebook oder Twitter, bei denen Benutzer Links, Bilder und Statusupdates miteinander teilen.
Der Angreifer versteckt dafür zum Beispiel auf seiner bearbeiteten Seite den allseits beliebten like-Button mittels JavaScript direkt unter dem Mauszeiger des Nutzers, welcher bei einem Klick dann unwissentlich die Seite des Angreifers als „sehenswert“ für seine Freunde bewertet und so unwissentlicher zum SPAM-Verteiler wird.

Risiken
Während der Klick auf den „Gefällt mir“-Button keine große Bedrohung darstellt können jedoch auch andere Inhalte wie Trojaner oder Zugriffsberechtigungen auf die privaten Daten versteckt und durch den Benutzer abgerufen werden. Zwar haben die meisten in Facebook verteilten Seiten nur das Ziel Besucher auf die Seite zu locken um Werbung zu verbreiten, jedoch sollte man sich der Gefahr bewusst sein, dass auch andere gefahrenpotentiale auftauchen können.

Maßnahmen gegen eine Clickjacking Attacke
Während wir als Nutzer von e-Mails bereits damit rechnen dass unseriöse Inhalte in unser Postfach gelangen achten wir bei geposteten links von Freunden weniger auf die Sicherheit, da sie vertrauenswürdig erscheinen. Jedoch ist genau dies das Ziel des Angreifers – Seriosität gaukeln.

Tipp 1: Schau bei Statusupdates von Freunden nicht auf das Bild, sondern den Link. Während die Miniaturansicht wie ein YouTube-Video wirkt ist der Link meistens eine bit.ly oder andere „komische“ Adresse die recht unbekannt wirkt.

Tipp 2: Beachte den Namen der Verlinkten Seite. Die meisten Clickjacking Seiten versuchen mit reißerischen Titeln wie: „Charlie Sheen beim Sex mit einem Tieger“ oder „Sextape des DSDS-Gewinners mit Dieter Bohlen“ Benutzer auf ihre Seiten zu locken.

Tipp 3: Wenn du auf Clickjacking hereingefallen bist entferne die Anwendung und/oder den Eintrag von deiner Pinnwand. Das kannst du, wenn du mit der Maus zum rechten Rand des Pinnwand-Posts fährst. Es erscheint ein X, auf welches du klicks und die Anwendung/den Beitrag entfernst.

Tipp 4: Wenn du dich etwas mehr mit Computern auskennst installiere ein NoScript-Plugin, welches es für die gängigsten Browser gibt.

Tipp 5: Nutze deinen Menschenverstand und glaube nicht blind alles was du siehst oder liest.

Tipp 3 zählt natürlich nicht für diese Seite 😉 Denn wir wollen doch dass möglichst viele Leute diese Tips hier lesen 😉

Was ist nun eigentlich bei dem Besuch dieser Webseite passiert?
Wie schon einleitend gesagt habe ich dich, wenn du über meine bearbeitete Startseite https://porzelt.net/cj/ auf diesen Artikel kamst, ge-Clickjacked.

Zu jeder Zeit befand sich der von Facebook bereitgestellte „Gefällt mir“-Button direkt unter deinem Mauszieger, jedoch in einem unsichtbaren Feld. Durch die im Internet häufig verwendete Scriptsprache JavaScript positionierte ich dieses versteckte Feld, nach jeder Bewegung der Maus, neu unter dem Mauszeiger.
Ein Klick löste nun zwei Aktionen aus. Erstens wurde der „like“-Button geklickt und damit automatisch ein Eintrag auf deiner Facebook-Pinnwand erzeugt und zweitens eine Weiterleitung zu diesem Artikel aufgerufen. Durch die eingetretene Akltion des Ladens einer neuen Seite wurde die erste Aktion verschleiert und mein Zeil, diesen Artiel weiter zu verbreiten, erreicht.

Fazit
Clickjacking ist eine Bedrohung die jedem, der im Internet surft, unterkommen kann. Wie auch bei Vieren und anderen Bedrohungen sollte man daher beim Surfen durch das Internet immer den logischen Menschenverstand benutzen und ein bisschen aus die Seriosität mancher Seiten achten.
Ich hoffe ich konnte ein mit dem Artikel ein paar Nützliche Informationen geben wie man mit dieser Gefahr umgehen sollte und wie man die Verbreitung eindämmen kann.

Maximilian Porzelt
20.03.2011

3 thoughts on “Clickjacking – Wie ich dich dazu brachte meine Seite auf Facebook zu „liken“

Leave a Reply