Bundesamt für Sicherheit in der Informationstechnik

G 5.175 Clickjacking

Bei einem Clickjacking-Angriff werden Teile einer Webseite bei der Darstellung überdeckt, sodass für den Benutzer nicht sichtbare, transparente Ebenen die angezeigten Inhalte der Webseite überlagern.

In diesen transparenten Ebenen können beliebige Inhalte oder Bedienelemente eingebunden werden, ohne dass sie für den Benutzer sichtbar sind. Klickt der Benutzer auf die vermeintlichen Inhalte der Webseite, so wird der Klick nicht an die sichtbare Ebene, sondern an die überlagerten Ebenen gesendet und somit entführt (engl. Hijacking). Die Angriffsbezeichnung Clickjacking ergibt sich aus der Wortkombination Click für Mausklick und Jacking von Hijacking.

Neben Mausklicks können darüber hinaus auch Tastatureingaben mittels transparent eingeblendeter Textfelder auf fremde Server umgeleitet werden ( z. B. Platzierung über Passwortfelder).

Beispiele:

  • Ein Angreifer nimmt an einem Programm für Werbeanzeigen teil, bei dem die Höhe der Provision anhand der Klicks durch die Besucher ermittelt wird (Klickvergütung oder Pay-per-Click). Dabei überlagert er einen Teil einer Webanwendung mit einem unsichtbaren Link zur Werbeanzeige, sodass der Benutzer unbemerkt auf die Werbeanzeige klickt. Dadurch erhöht sich die Anzahl der Klicks und damit die auszuzahlende Provision.
  • Ein Angreifer platziert auf einer Webseite einen unsichtbaren "Gefällt mir"-Button für seine eigene Facebook-Seite, der immer dem Mauszeiger folgt. Für den Benutzer ist das nicht erkennbar. Klickt er irgendwo übermittelt auf der Seite, wird die "Gefällt- mir"-Funktion von Facebook ausgeführt er übermittelt seine Facebook-Daten an den Angreifer, der diese dann weiter ausnutzen kann.

Stand: 13. EL Stand 2013