Hilfe, meine Maus wurde entführt!

Veröffentlicht: 08.03.2011 in Internet
Schlagwörter:, ,

Im Internet findet zur Zeit eine besonders perfide Methode Verbreitung, mit der nichtsahnende Benutzer dazu gebracht werden, auf Links zu klicken, die sie normalerweise nicht freiwillig besuchen würden: Clickjacking. Ein typisches Beispiel, wie es mir bei Facebook in den letzten Tagen mehrfach begegnet ist, sieht wie folgt aus:

Facebook-Statusmeldung mit Köder

Facebook-Statusmeldung mit Köder

Der verpixelte Name ist übrigens einer meiner Facebook-Freunde, der augenscheinlich diesen Link für sehenswert erachtet und deswegen bei Facebook weitergegeben hat. Wenn ich nun im Vertrauen auf den guten Geschmack meines Freundes (lies: in der Hoffnung auf nackte Tatsachen) dem Link folge, gelange ich zu einer Seite, die YouTube sehr ähnlich sieht und ein Video präsentiert, das durch Anklicken gestartet werden kann. Sehr verführerisch, aber leider eine Falle:

Clickjacking mit dem Facebook "Gefällt mir"-Knopf

Clickjacking mit dem Facebook "Gefällt mir"-Knopf

Was ist hier passiert? Wo kommt der Facebook-Knopf auf einmal her? Ich hatte doch auf den Abspielknopf des Videos gedrückt?

Nun, aus technischer Sicht ist eine moderne Webseite nicht mehr wirklich eine Seite wie in einem Buch. Stattdessen verhalten sich die einzelnen Seitenelemente mehr wie die Fenster auf dem Computerdesktop. Man kann Überschriften, Textabsätze und Bilder beliebig verschieben oder überlappen lassen, neue Elemente hinzufügen oder alte wieder entfernen. Für viele Anwendungen ist das extrem praktisch: Google Maps benutzt das zum Beispiel für die Sprechblasen, die weitere Informationen zu einem Ort beinhalten. Facebook zeigt damit „Dialogfenster“ an oder fügt dynamisch neue Statusmeldungen hinzu, ohne die komplette Seite neu laden zu müssen.

Leider lässt sich diese Funktionalität auch missbrauchen. Im vorliegenden Fall hat ein findiger Webdesigner unter dem Video den „Gefällt mir“-Knopf von Facebook versteckt, der beim Klicken das „Video“ in meinem Namen mit meinem Freundeskreis teilt. Das Hinterhältige dabei ist, dass sich der Knopf erst beim Anklicken so verhält. Vorher gibt es keinen Hinweis darauf, dass da irgendwas mit Facebook interagiert. Wer sich für die genauen technischen Einzelheiten interessiert, findet im Artikel UI Redressing: Attacks and Countermeasures Revisited von Markus Niemitz reichlich Bildungsmaterial. Für Otto Normalklicker stellt sich in erster Linie die Frage: Wie kann ich mich schützen?

  1. Bei sensitiven Seiten alle anderen Browserfenster und Tabs schließen, und sich erst wieder vollständig abmelden, bevor man eine andere Seite ansurft. Der obige Angriff funktioniert nur deshalb, weil die Opfer gerade auf Facebook angemeldet sind, denn sonst wäre es gar nicht möglich, auf die Pinnwand zu posten. Was in sozialen Netzwerken meist nur zu peinlichen Veröffentlichungen führt, kann sich allerdings schnell in ein finanzielles Desaster ausweiten, wenn man nebenbei noch eine Sitzung des Internet-Bankings laufen hat. Weniger dramatisch, aber ebenfalls unschön: Ich bin bei GMX angemeldet und jemand verschickt mit meiner E-Mail-Adresse Spam.
  2. Sei misstrauisch, wenn jemand „interessante“ Links weitergibt. Viele Bösewichte sind wahre Psychologie-Experten, die genau wissen, wie sie die Neugier ihrer Mitmenschen in fatale Klicks ummünzen können. Fast immer appelliert der Köder an den kleinen Voyeur in uns allen. Besonderes Misstrauen ist angesagt, wenn der Link untypisch für die angebliche Quelle ist. Ein seriöser Geschäftskontakt postet auf Xing „total witzige“ Bilder? Ja nee, is klar.
  3. Technische Gegenmaßnahmen reduzieren das Angriffsrisiko. Für den Mozilla Firefox gibt es das ausgezeichnete NoScript Add-On. Die meisten Angriffe benötigen JavaScript, um bösartigen Programmcode im Browser auszuführen. NoScript deaktiviert JavaScript, außer auf Seiten, die vom Benutzer als vertrauenswürdig ausgewählt wurden und erkennt selbst bei aktiviertem JavaScript eine Reihe typischer Angriffe. Wie jede technische Lösung hat aber auch NoScript seine Grenzen und sollte als Ergänzung, nicht als Ersatz für den eigenen Verstand gebraucht werden.

Zum Abschluss noch ein Bild von Paris Hilton ohne Unterwäsche.

Advertisements
Kommentare
  1. Mathias sagt:

    Hallo!
    Ich habe deinen Artikel interessiert gelesen. Ich finde, du hast die Thematik ziemlich gut auf den Punkt getroffen. Ich habe mich übrigens auch mit dieser Thematik auf meinem Blog auseinandergesetzt. Vielleicht interessiert dich ja auch mein Artikel…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s