Erstellt am: 25. 7. 2014 - 14:11 Uhr

Clickjacking: Die unterschätzte Gefahr

Irreführung auf Netbanking-Websites und sich selbständig machende "Gefällt mir"-Klicks: Wie die Angreifer vorgehen und wie man sich dagegen schützen kann.

In meinem Bekanntenkreis haben sich zuletzt mehrere Menschen über das Phänomen nicht nachvollziehbarer "Gefällt mir"-Klicks auf Facebook gewundert. Es ist nicht angenehm, wenn die eigene Pinnwand plötzlich Zustimmung zu Inhalten signalisiert, die man nicht bewusst gegeben hat - im Extremfall kann es sich ja um einen menschenverachtenden Artikel oder die Werbung für eine Neonazi-Partei handeln. Das Phänomen heißt "Likejacking" und ist eine auf Social-Networking-Websites abzielende Variante des "Clickjacking".

Wie geht das?

Für die Attacke lockt der Angreifer den User auf eine Website, die vielleicht interessant und jedenfalls harmlos genug für einen Klick aussieht - das Bild eines kranken Kindes mitsamt Spendenaufruf, ein Gewinnspiel, ein spärlich bekleidetes Model oder interessante Nachrichten. Der Angreifer lädt jedoch über den vermeintlich harmlosen Inhalt einen sogenannten Inlineframe nach, der unsichtbar ist. Im Fall des "Likejacking" enthält dieser Frame einen - ebenfalls unsichtbaren - "Gefällt mir"-Button.

Den erfolgreichsten Likejacking-Attacken sind in der Vergangenheit Hunderttausende Nutzer zum Opfer gefallen, weil diese sich über die Status-Updates der User weiterverbreiten - ähnlich einem Computervirus.

Der Wert für den Angreifer besteht entweder in der Verbreitung seiner Botschaft, oder im nicht unerheblichen finanziellen Wert von Klicks auf Websites mit eingeblendeter Werbung.

Auch Websites von Banken betroffen

Laut einem Bericht des Sicherheits-Dienstleisters Trend Micro sind die Websites von 97% aller Banken nicht vor unsichtbaren Inlineframes geschützt. Angriffe darüber seien zuletzt vermehrt in Österreich, der Schweiz, in Schweden und in Japan erfolgt. Die "Löcher" in der Online-Software von Banken seien so prävalent, dass die Sicherheitsexperten in Anspielung auf den Käse von der Causa "Emmental" sprechen. Für den Nutzer einer schlecht gesicherten Bank-Website kann das Clickjacking mit unangenehmen finanziellen Verlusten verbunden sein.

cc Brian Gurrola

Für die Betreiber von Websites wäre es an sich leicht, ihre User vor unsichtbaren Frames zu schützen - zum Beispiel indem der Header der Website die Zeile "x-frame-options: deny" an den Browser sendet. Solche Maßnahmen seitens der Administratoren funktionieren aber nur, wenn die User ihre Webbrowser auf dem aktuellen Stand halten.

Wie kann man sich schützen?

Von der regelmäßigen Aktualisierung der Browser-Software abgesehen gibt es zahlreiche Maßnahmen, die man als User zum Schutz vor Click- und Likejacking setzen kann. Empfehlenswert ist vor allem die Installation eines Plugins, das erlaubt, die Ausführung von Scripts (JavaScript, Java, Flash etc.) zu regulieren oder gegebenenfalls komplett zu unterbinden. Das hat den Vorteil, dass man trotzdem noch seine Youtube-Videos ansehen und Facebook-Games spielen kann, aber vor Angriffen geschützt ist.

NoScript ist etwa empfehlenswert für Firefox, ScriptSafe für Chrome. Beide Plugins sind kostenlos.

Ein interessantes kommerzielles Produkt für den Schutz vor Clickjacking heißt GuardedID. Es macht unsichtbare Frames sichtbar (in Firefox und Internet Explorer). Außerdem schützt GuardedID vor Keyloggern und anderer Schadsoftware - allerdings für einen jährlich zu entrichtenden Preis von 26 Euro. Software wie diese lohnt sich vor allem dann, wenn man häufig sensible Anwendungen wie Netbanking verwendet.

Hinsichtlich des Likejacking empfiehlt es sich außerdem, regelmäßig die Liste der installierten Facebook-Apps sowie die Settings des eigenen Facebook-Accounts zu überprüfen. Die Privatsphäre- und Sicherheits-Einstellungen haben sich in den letzten Jahren mehrmals verändert und es bestehen zahlreiche Optionen zur Konfiguration der eigenen Pinnwand, wobei unter anderem dieser Leitfaden hilfreich ist.