Clickjacking ist eine besonders perfide Angriffsmethode im Netz. Dabei werden Nutzer unbemerkt dazu gebracht, Aktionen auszuführen, die sie gar nicht beabsichtigt haben.
Wir werfen einen Blick darauf, was hinter diesen unbemerkten und bösartigen Angriffen steckt, wie sie funktionieren und wie Unternehmen sich davor schützen können.
Unterschätzte Gefahren im digitalen Alltag
Das tägliche Interagieren mit einer Vielzahl von Websites gehört für die meisten Nutzer einfach dazu. Daher ist es kaum überraschend, dass Cyberkriminelle immer ausgeklügeltere Methoden entwickeln, um Daten zu stehlen und Sicherheitslücken auszunutzen. Während sich Nutzer auf das Surfen im Internet konzentrieren, bleiben immer wieder neue Bedrohungen im Hintergrund aktiv, die unbemerkt das Verhalten manipulieren können.
Eine dieser Bedrohungen ist Clickjacking – eine Methode, bei der Cyberkriminelle geschickt Online-Aktionen manipulieren, um unerwünschte Ergebnisse zu erzielen. Doch was genau steckt hinter dieser Methode und wie gefährlich ist sie wirklich? In den folgenden Abschnitten gehen wir näher darauf ein, was Clickjacking eigentlich ist und wie es sich auf die Online-Sicherheit auswirkt.
Cyberkriminelle finden immer neue Wege, Opfer anzugreifen – zum Beispiel mit Clickjacking. Bild: Unsplash/Christin Hume
Was ist Clickjacking?
Hinter Clickjacking verbirgt sich ein bösartiger Angriff auf eine legitime Website, bei dem der Benutzer unbemerkt dazu verleitet wird, eine andere Aktion auszuführen, als er eigentlich beabsichtigt hatte. Kurz zum Hintergrund: Der Begriff Clickjacking setzt sich aus den englischsprachigen Begriffen „Click“ (Klick) und „Hijacking“ (Entführung). In Zuge dieser „Klick-Entführung“ wird die Darstellung der Website von dem Angreifer für den User mit einer meist nicht sichtbaren User-Interface (UI) versehen. Der User wird – von ihm selbst meist völlig unbemerkt – getäuscht und ein scheinbar harmloser Klick führt zu einer nicht beabsichtigten und schädlichen Aktion.
Die sogenannten Overlay-Angriffe, ist die am weitesten verbreitete Form von Clickjacking-Angriffen. Die unsichtbaren Frames (iFrames) überdecken die legitim aussehende Website des Users mit einer anderen Oberfläche. Dabei fordern die iFrames den Anwender etwa auf, eine PDF-Datei herunterzuladen.
In Wirklichkeit löst er unbemerkt eine ganz andere Aktion aus. Er gelangt durch den Klick nicht zu einer neuen Unterseite, sondern führt versehentlich eine schädliche Aktion aus. Beispielsweise tätigt er einen unbeabsichtigten Kauf oder lädt einen Schadcode (auch Malware-Code oder bösartiger Code) herunter.
DoubleClickjacking: die neue Methode
Aktuell wurde ein noch ganz neue Variante des Clickjackings entdeckt: das DoubleClickjacking. Beim DoubleClickjacking möchte der Kriminelle den Nutzer dazu bringen, den Schadcode per Doppelklick auszuführen. Der Angreifer nutzt hierbei die zeitliche Abfolge von Doppelklicks gezielt aus. Dabei erstellt der Kriminelle eine Website mit einer Schaltfläche, die auf den ersten Blick harmlos erscheint.
Für den Nutzer erscheinen Fenster mit beispielsweise „Hier klicken, um Ihre Belohnung zu sehen“ oder „Hier klicken, um den Film zu sehen“. Klickt der Besucher auf die vermeintlich harmlose Schaltfläche, öffnet sich ein neues Fenster. Dieses verdeckt die ursprüngliche Website und enthält einen weiteren Trick: etwa ein Captcha, das gelöst werden muss, um fortzufahren. Dieses Captcha fordert den Nutzer auf, mit einem Doppelklick die vermeintliche Sicherheitsprüfung abzuschließen.
Clickjacking stellt seit Jahren eine Bedrohung im Netz dar. Bild: Unsplash/Štefan Štefančík
Die Konsequenzen? Gravierend!
Sobald der Nutzer den ersten Klick ausführt, registriert die manipulierte Seite das sogenannte Mousedown-Ereignis und entfernt blitzschnell das Captcha-Overlay. Dadurch trifft der zweite Klick unbemerkt eine zuvor versteckte Schaltfläche auf der echten Webseite. Auf diese Weise kann der Angreifer den Nutzer ungewollt dazu bringen, ein Plug-in zu installieren, einer OAuth-Anwendung Zugriff auf sein Konto zu gewähren oder eine Multi-Faktor-Authentifizierung zu bestätigen.
Eine OAuth-Anwendung ist eine Software oder ein Dienst, der das OAuth (Open Authorization)-Protokoll nutzt, um einer Drittanbieter-App oder Website sicheren Zugriff auf Benutzerkonten zu ermöglichen. Ohne dabei die eigentlichen Anmeldeinformationen, wie etwa Passwörter, preiszugeben.
Die möglichen Konsequenzen von DoubleClickjacking sind gravierend: Durch die unbemerkte Zustimmung kann ein Angreifer vollen Zugriff auf persönliche Daten, E-Mails oder soziale Medien des Opfers erhalten. Im schlimmsten Fall kann dies zur vollständigen Kompromittierung eines Online-Kontos oder zur Identitätsübernahme führen. Auch finanzielle Schäden sind möglich, etwa durch Zugriff auf verknüpfte Zahlungsdienste.
So läuft ein Clickjacking-Angriff ab
Cyberkriminelle haben verschiedene Tricks auf Lager, um Nutzer in die Falle zu locken und die Cybersicherheit zu gefährden. Aber wie läuft so ein Clickjacking-Angriff genau ab? Hier erklären wir, wie ein typischer Clickjacking-Angriff typischerweise funktioniert:
- Erster Schritt – Manipulation durch iFrame
Der Cyberkriminelle erstellt zuerst eine bösartige Dummy-Website und fügt dabei einen iFrame ein. Dieser beinhaltet eine legitime Ziel-Website. Das iFrame wird unsichtbar gemacht und optisch direkt über die Schaltfläche der Ziel-Website gelegt. Der Benutzer klickt auf seine eigentliche Website und bemerkt dabei nicht, dass er auf die unsichtbare, manipulierte Website klickt. - Zweiter Schritt – Angriff per Social Engineering:
Haben die Clickjacker ihre gefälschte Seite erstellt, setzen sie häufig auf Social-Engineering-Taktiken. Damit wollen sie mehr Besucher auf ihre präparierten Webseiten locken. Sie verschicken etwa täuschend echt wirkende E-Mails, die einen vermeintlichen Gewinn oder ein exklusives Angebot versprechen. - Dritter Schritt – Hintergrundaktion:
Diese E-Mails verleiten den ahnungslosen Nutzer dazu, die bösartige Website zu besuchen. Sobald dieser auf die entsprechende Schaltfläche, etwa zur Gewinn- oder Angebotsbestätigung klickt, wird unbemerkt eine andere Aktion im Hintergrund ausgeführt. Statt das erwartete Angebot anzunehmen, bestätigt der Nutzer möglicherweise eine Berechtigungsanfrage, aktiviert eine unerwünschte Funktion oder gibt ungewollt Zugriff auf sein Konto.
Clickjacking-Angriffe sind demnach eine gefährliche Bedrohung, da sie Nutzer durch Täuschung und Unsichtbarkeit dazu bringen, ungewollte Aktionen auszuführen. Unternehmen sollten sich bewusst sein, wie diese Angriffe ablaufen, um geeignete Schutzmaßnahmen zu ergreifen.
Clickjacking-Angriffe geschehen für die Opfer meist unbemerkt. Bild: Unsplash/Jakob Owens
Diese Risiken drohen den Nutzern
Kaum eine Plattform ist vor Clickjacking sicher. Ob mobile Geräte Tablets, Desktop-PCs oder Laptops – überall funktioniert die Betrugsmasche der Cyberkriminellen. Diese breite Betrugsmasche bedeutet auf Seiten der Anwender eine Vielzahl an Risiken und Auswirkungen.
Besonders sensibel sind etwa die Daten, die Cyberkriminelle bei Online-Banking-Softwaren abfangen können. Der Nutzer meldet sich mit ID und Passwort auf der Website zum Online Banking an. Die Benutzeroberfläche der Bank ist jedoch nur eine Fälschung. In Wirklichkeit werden die eingebenden Anmeldedaten nicht zu der Bank des Users gesendet, sondern an die Server des Angreifers.
Der Cyberkriminelle gelangt mit seiner Methode so an äußerst wertvolle und vertrauliche Informationen. Er erhält so beispielsweise die Kontoauszugsdaten des Benutzers. Neben dem Abfangen sensibler Daten und Informationen kann der Nutzer noch mit vielen weiteren Risiken konfrontiert werden. Angreifer können etwa Login-Daten stehlen, illegales Geld transferieren oder unbeabsichtigte Online-Käufe tätigen.
Unsere Tipps: Schutzmaßnahmen gegen Clickjacking
Die Clickjacking-Software gelangt in vielen Fällen durch gezielt versendete E-Mails auf die verschiedenen Endgeräte. Daher ist es besonders ratsam, regelmäßig das eigene Mail-Postfach im Auge zu behalten. In Clickjacking-Mails wird oftmals eine „dringende Angelegenheit“ beschrieben, inklusive einer Klick-Aufforderung. Klickt der Nutzer auf die entsprechende Mail, gelangt er zur manipulierten Seite und wird dort zu einer bösartigen Aktion aufgefordert. Und hier ist Vorsicht gefragt! Unsere Tipps sind:
- Vorsicht vor betrügerischen Apps!
Das „Ziel“ der Angreifer kann auch der Download einer App sein. Der Benutzer wird in der Mail aufgefordert, eine bestimmte App herunterzuladen. Dahinter steckt vermutlich Malware, eine Schadsoftware. Diese späht dadurch die Zugangsdaten des Anwenders aus. Manchmal ist es auch die Webseite selbst, die unbemerkt Malware auf das Gerät des Benutzers schleust. Oft werden dabei gefälschte Eingabefelder eingeblendet, in die Nutzer gutgläubig ihre Daten eingeben. - Meiden Sie gefährliche Werbeanzeigen!
Weitere Gefahrenquellen für Clickjacking sind Werbeanzeigen auf Google oder Facebook. Die Anzeigen sind reißerisch formuliert und versprechen oftmals unrealistische Angebote oder äußerst ungewöhnliche Nachrichten. Per Klick gelangt der Nutzer auf die manipulierte Webseite, die Schadsoftware auf dem Endgerät installiert. Zum Schutz sollten daher nur seriöse und etablierte Nachrichtenquellen genutzt werden. Dort kann der Nutzer überprüfen, ob die entsprechenden Informationen der Wahrheit entsprechen. - Beziehen Sie Apps nur aus vertrauenswürdigen Quellen!
Zum Schutz gegen Clickjacking empfiehlt es sich, Apps ausschließlich aus offiziellen App-Stores zu beziehen. Diese werden regelmäßig auf Sicherheit überprüft. Eine absolute Garantie gibt es hier zwar auch nicht, aber die Kontrollen durch Software-Agenten und Experten minimieren das Risiko erheblich.
Insgesamt zeigt sich: Clickjacking stellt eine ernstzunehmende Bedrohung dar, die sich in vielen unterschiedlichen Formen äußern kann. Ein bewusstes und vorsichtiges Verhalten im Netz ist daher der beste Schutz, um nicht Opfer solcher Angriffe zu werden.
Unterstützung durch IT-Sicherheitsexperten
Clickjacking ist eine von vielen Bedrohungen, mit denen Unternehmen konfrontiert sind. Umso wichtiger ist es, eine umfassende Sicherheitsstrategie zu verfolgen, die sowohl technische als auch organisatorische Maßnahmen umfasst. Genau dabei können unsere Experten aus dem IT-SERVICE.NETWORK unterstützen.
Dabei liegt der Fokus darauf, die IT-Infrastruktur Ihres Unternehmens langfristig zu verbessern und Sie optimal vor den Cybergefahren des Internets zu bewahren. Diese präventiven Ansätze von unseren Experten aus dem IT-SERVICE.NETWORK ermöglichen es, Clickjacking-Angriffe frühzeitig zu erkennen und abzuwehren, bevor sie Schaden anrichten können. So wird nicht nur die IT-Sicherheit Ihres Unternehmens erhöht, sondern auch das Vertrauen in Ihre digitale Infrastruktur nachhaltig gestärkt.
Weiterführende Informationen:
it-daily, kaspersky, pingidentity
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Geschrieben von
Sandra Morgenroth unterstützt seit April 2025 das Marketing-Team als Content-Redakteurin für den Blog des IT-SERVICE.NETWORK. Ihren beruflichen Start machte sie in der Ausbildung zur Medienkauffrau bei der Lippstädter Tageszeitung. Danach ging Sandra für das Studium Medien- und Kommunikationsmanagement nach München. Nach einigen Jahren im fernen Bayern zog es sie wieder zurück in die Heimat. Anfang… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung