Clickjacking
Was ist Clickjacking?
ClickjackingUI-Redress-Angriff, der Nutzer dazu bringt, etwas anderes anzuklicken als sie wahrnehmen, indem eine Zielseite in einer Angreifer-Seite überlagert oder versteckt wird.
Clickjacking bettet eine sensible Seite (zum Beispiel Kontoeinstellungen, OAuth-Consent, Zahlungsbestätigung) in einem iframe auf einer bösartigen Seite ein und tarnt sie optisch — oft durch Transparenz, sorgfältig gestaltete CSS-Overlays oder strategische Positionierung unter Köderbuttons. Der Nutzer glaubt, mit der sichtbaren Seite zu interagieren, während seine Klicks, Taps oder Drags tatsächlich an den versteckten Frame zugestellt werden und Aktionen in seiner authentifizierten Sitzung ausführen.
Der Begriff wurde 2008 von Jeremiah Grossman und Robert Hansen geprägt, die das Einbetten des Einstellungsmanagers von Adobe Flash demonstrierten, um heimlich Webcam und Mikrofon eines Opfers zu aktivieren. Die daraus entstandene Abwehr, der X-Frame-Options-Header, wurde als RFC 7034 (2013) standardisiert und ist seither durch die frame-ancestors-Direktive der Content-Security-Policy abgelöst worden, die granularer ist und mehrere erlaubte Origins unterstützt. Varianten entwickeln sich weiter: Cursorjacking, Drag-and-Drop-Datendiebstahl und Likejacking. Ende 2024 veröffentlichte der Forscher Paulos Yibelo "DoubleClickjacking", das die Lücke zwischen den beiden Ereignissen eines Doppelklicks ausnutzt, um die darunterliegende Seite nach dem ersten Klick auszutauschen, und so X-Frame-Options, frame-ancestors und SameSite-Cookies umgeht, da zum Klickzeitpunkt kein seitenübergreifender Frame tatsächlich vorhanden ist.
Abwehrmaßnahmen kombinieren Framing-Kontrollen (frame-ancestors 'self' oder eine explizite Allowlist), explizite Anforderungen an Benutzergesten und Bestätigungen für sensible Aktionen, das Deaktivieren von Buttons bis zu einer kurzen Verzögerung nach dem Fokus sowie SameSite-Cookies zur Begrenzung von kontextübergreifendem Zustand.
flowchart TD A[Opfer besucht<br/>Angreifer-Seite] --> B[Köder-UI:<br/>'Klicken zum Gewinnen'] B --> C[Unsichtbarer iframe lädt<br/>echte Zielseite] C --> D[Opfer ist auf der<br/>Zielseite eingeloggt] B --> E[Transparentes Overlay<br/>richtet versteckten Button aus] E --> F[Opfer klickt Köder] F --> G[Klick trifft versteckten<br/>'Zustimmen'-Button] G --> H[Aktion läuft in<br/>Sitzung des Opfers]
● Beispiele
- 01
Eine Seite fordert "Klick hier zum Gewinnen", ein transparenter iframe über dem Button verweist auf einen Social-Network-Berechtigungsdialog.
- 02
Pixelgenaues Overlay verleitet den Nutzer dazu, "Zustimmen" in einem OAuth-Consent-Screen einer Angreifer-App zu klicken.
● Häufige Fragen
Was ist Clickjacking?
UI-Redress-Angriff, der Nutzer dazu bringt, etwas anderes anzuklicken als sie wahrnehmen, indem eine Zielseite in einer Angreifer-Seite überlagert oder versteckt wird. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Clickjacking?
UI-Redress-Angriff, der Nutzer dazu bringt, etwas anderes anzuklicken als sie wahrnehmen, indem eine Zielseite in einer Angreifer-Seite überlagert oder versteckt wird.
Wie schützt man sich gegen Clickjacking?
Schutzmaßnahmen gegen Clickjacking kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Clickjacking?
Übliche alternative Bezeichnungen: UI-Redress-Angriff.