Wer kennt das nicht? Kaum wird das Postfach für einen Tag einmal ignoriert, nistet er sich wie ein Geschwür ein: Spam. Als Spam oder auch Junk (zu Deutsch: Abfall) werden unerwünschte, elektronisch übertragene Nachrichten bezeichnet. Doch Spam ist mehr als nur überaus nervig – der unerwünschte „Abfall“ ist sogar gefährlich. Betrüger, Trickser und Hacker werden immer dreister. Zuletzt machte eine besonders gemeine Hacker-Erfindung scheinbar mühelos selbst große Internetplattformen wie Facebook und Co. unsicher: Clickjacking.
Was genau ist Clickjacking?
Mit Clickjacking (deutsch: Klickentführung) wird eine bestimmte Technik beim Computerhacken bezeichnet, bei der der Hacker die Darstellung einer Website verändert, indem er diese durch zusätzlich hinzugefügte Informationen überlagert. Nutzer können diese Informationen nicht sehen. Dadurch werden sie zu scheinbar harmlosen Klicks auf Links und Videos oder auch Tastatureingaben veranlasst – die am Ende nur oberflächlich harmlos sind. Denn anstatt beispielsweise auf einen Link zu klicken, den ein Freund über Facebook gesendet hat, klickt der Benutzer auf eines der überlagerten Objekte des Hackers. Somit führt der Nutzer durch diesen scheinbar harmlosen Klick statt seiner eben jene Aktion aus, die der Hacker zuvor definiert hat. Dadurch können ohne persönliches Wissen unter anderem gefährlich Viren übertragen und Zugriffe auf sensible Daten freigeschaltet werden.
Clickjacking kann sich hinter vielen Internet-Objekten verstecken, darunter am häufigsten bei:
- Links zu anderen Webseiten
- Empfehlungen von Bildern und Videos (besonders beliebt bei Social Media-Plattformen wie Facebook)
- Schaltflächen
- Buttons
Welche Auswirkungen hat Clickjacking?
Ein vermeintlich harmloser Klick auf Links, Videos oder Schaltflächen im Web-Browser genügt also schon, um kriminellen Hackern Zugriff auf den heimischen PC zu gewähren. Das ist beunruhigend. Noch beunruhigender allerdings sind die Auswirkungen, die Clickjacking, also die „Klickentführung“ auf Privatsphäre und Daten hat. Je nachdem, welche Aktionen der Hacker mit seinen überlagerten Objekten verbunden hat, löst der Klick auf diese in Links und Buttons im Internet versteckten Nachrichten unterschiedliche Dinge aus. Der Nutzer kann so zum Beispiel dem Hacker ohne sein Mitwissen freien Zugang zu den am PC angeschlossenen Kameras oder Mikrophonen geben. Über das Clickjacking lassen sich aber auch ganz einfach persönliche Informationen und äußerst sensible Daten an den Angreifer übermitteln. Im Extremfall kann es sogar sein, dass der Hacker via Kamera oder Mikrophon sein Opfer beobachtet und belauscht.
Wie kann ich mich vor Clickjacking schützen?
„Jeder Klick im Browser kann der falsche sein!“ – warnt unter anderem das Online-Portal Heise und stützt sich dabei vor allem auf die Ausführungen der Security-Forscher Robert Hansen und Jeremiah Gross. Nach Hansen und Gross haben gemeinsam Details über die Methode Clickjacking enthüllt und geben in ihren Blogs praktische Tipps und Hilfen rund um das Thema „Klickentführung“. Neben Hinweisen auf anfällige Webseiten und Plattformen weisen die Security-Forscher dort ebenfalls auf Probleme in Flash, Internet Explorer 8 und JavaScript hin. Auch Adobe hat auf die vermehrte Gefahr durch Clickjacking reagiert und bietet Nutzern online kostenlos zugängliche, wichtige Hinweise zur Eindämmung von Clickjacking im Flash Player.
Was nun aber tun gegen Spam im Internet? Gegenmaßnahmen beim Clickjacking sind – wie manche vielleicht annehmen – ganz und gar nicht trivial, da es sich bei der „Klickentführung“ um ein konzeptionelles Problem der Webanwendungssicherheit handelt. Schutz gegen die Gefahr Clickjacking verspricht unter anderem das neue Firefox-Plugin: No-Script (Version 1.8.2.1). Die darin enthaltene Clear-Funktion soll helfen versteckte, also überlagerte Objekte, beim Anklicken für den Nutzer sichtbar zu machen. Außerdem soll der Benutzer mit dem neuen Plug-in versteckte Objekte nicht nur sichtbar machen, sondern auch entscheiden können, ob er diese ausführen will. Voraussetzung für diesen Schutz ist natürlich, dass er sowohl vom jeweiligen Browser als auch der Webanwendung unterstützt wird.