Eine neue Bedrohung macht die Runde: DoubleClickjacking. Diese raffinierte Angriffsmethode nutzt die kurze Zeitspanne zwischen zwei schnellen Mausklicks aus, um Sicherheitsmechanismen zu umgehen und Internet-Nutzende unbewusst zu gef\u00e4hrlichen Aktionen zu verleiten. W\u00e4hrend klassische Clickjacking-Techniken bereits lange bekannt sind, stellt DoubleClickjacking eine neue Dimension dieser Angriffsstrategie dar.<\/p>\n
In diesem Blogbeitrag erkl\u00e4ren wir, wie DoubleClickjacking funktioniert, warum es so gef\u00e4hrlich ist und welche Schutzma\u00dfnahmen Sie ergreifen k\u00f6nnen.<\/p>\n
DoubleClickjacking ist eine neue Variante der bekannten Clickjacking-Angriffstechnik. Dabei nutzen Cyberkriminelle die kurze Zeit von Sekundenbruchteilen zwischen zwei aufeinanderfolgenden Klicks aus, um Schutzmechanismen zu umgehen und ungewollte Aktionen im Namen des Nutzers auszuf\u00fchren.<\/p>\n
\u00dcberblick: Klassisches Clickjacking<\/strong><\/p>\n Den meisten von Ihnen d\u00fcrfte die Angriffsmethode bekannt sein \u2013 allen anderen sei sie hier kurz erkl\u00e4rt. Beim Clickjacking platzieren Angreifer unsichtbare oder \u00fcberlagerte Elemente auf einer legitimen Webseite, sodass Nutzer unbewusst auf versteckte Schaltfl\u00e4chen klicken. Dadurch k\u00f6nnen ungewollte Aktionen wie das Gew\u00e4hren von Berechtigungen, das T\u00e4tigen von Zahlungen oder die \u00dcbernahme von Benutzerkonten ausgel\u00f6st werden. Zum Schutz gegen solche Angriffe setzen Webseiten Betreiber Mechanismen wie X-Frame-Options (um zu verhindern, dass Seiten in unsichtbaren Frames geladen werden) oder SameSite-Cookies (die unautorisierte Anfragen blockieren).<\/p>\n Clickjacking vs. DoubleClickjacking: Der 2. Klick macht den Unterschied<\/strong><\/p>\n W\u00e4hrend also Clickjacking-Angriffe darauf abzielen, Nutzende unbewusst zu unerw\u00fcnschten Aktionen zu verleiten, geht DoubleClickjacking noch einen Schritt weiter: Es ver\u00e4ndert in Bruchteilen einer Sekunde den Inhalt der Webseite genau zwischen den beiden Klicks eines Doppelklicks \u2013 oder anders gesagt: der urspr\u00fcngliche Seiteninhalt wird blitzschnell ausgetauscht.<\/p>\n Dadurch landet der zweite Klick unbemerkt auf einem b\u00f6sartigen Element, etwa einer Best\u00e4tigungsschaltfl\u00e4che oder einer Autorisierungsanfrage und der Nutzer erteilt unwissentlich Zugriffsrechte. Da bestehende Schutzmechanismen meist auf einzelne Klicks ausgelegt sind, bleibt diese Methode oft unentdeckt.<\/p>\n Ein DoubleClickjacking-Angriff l\u00e4uft in mehreren Schritten ab:<\/p>\n Der Nutzer besucht eine kompromittierte Webseite. Diese wird von einem Angreifer kontrolliert und sieht harmlos aus.<\/p>\n Ein vermeintlich legitimes Element erscheint. Zum Beispiel wird ein Pop-up oder eine CAPTCHA-\u00dcberpr\u00fcfung vorget\u00e4uscht.<\/p>\n Der Nutzer wird zum Doppelklick aufgefordert. Beim ersten Klick bleibt die Seite unver\u00e4ndert.<\/p>\n Zwischen den Klicks ver\u00e4ndert sich der Seiteninhalt. Noch bevor der zweite Klick ausgef\u00fchrt wird, wird das urspr\u00fcngliche Element gegen ein b\u00f6sartiges ausgetauscht.<\/p>\n Der zweite Klick trifft nun ein sensibles Element. Dies k\u00f6nnte beispielsweise eine OAuth-Autorisierung sein, die dem Angreifer Zugriff auf das Konto des Nutzers gew\u00e4hrt.<\/p>\n Eine Internet-Nutzerin besucht eine scheinbar harmlose Webseite, etwa ein Online-Forum oder einen Nachrichtenblog. W\u00e4hrend des Scrollens erscheint ein CAPTCHA-Feld mit der Aufforderung, per Doppelklick zu best\u00e4tigen, dass er kein Bot ist. Die Frau f\u00fchrt den Doppelklick aus \u2013 doch w\u00e4hrend der Millisekunden zwischen den beiden Klicks tauscht die Webseite das unsichtbare CAPTCHA-Element gegen ein OAuth-Autorisierungsfeld f\u00fcr einen Drittanbieter-Dienst aus. Der zweite Klick best\u00e4tigt somit unbewusst die Berechtigungsanfrage, wodurch der Angreifer Zugriff auf das Konto des Opfers erh\u00e4lt.<\/p>\n DoubleClickjacking stellt vor allem deshalb eine Bedrohung dar, da es bestehende Schutzma\u00dfnahmen umgeht und Nutzer mit minimaler Interaktion dazu verleitet, gef\u00e4hrliche Aktionen auszuf\u00fchren. Zu den gr\u00f6\u00dften Gefahren dieser neuen Angriffsmethode geh\u00f6ren:<\/p>\n Umgehung von Clickjacking-Schutzma\u00dfnahmen<\/strong><\/p>\n Viele Webseiten haben mittlerweile zwar Schutzma\u00dfnahmen wie X-Frame-Options oder Content Security Policy (CSP) implementiert, um Clickjacking zu verhindern. Wie obe schon beschrieben, geht DoubleClickjacking aber noch einen Schritt weiter: Weil es in der Lage ist, mit nur zwei Klicks \u2013 dem Doppelklick \u2013 einen Angriff zu starten, stellen die Schutzmechanismen, die Clickjacking verhindern sollen, keine wirksame Barriere gegen diese Art des Angriffs dar. Die Gef\u00e4hrlichkeit dieser Methode liegt also in ihrer F\u00e4higkeit, den Benutzer dazu zu verleiten, ohne jegliches Misstrauen auf schadhafte Inhalte zuzugreifen.<\/p>\n Ein simpler Doppelklick gen\u00fcgt<\/strong><\/p>\n Im Gegensatz zu herk\u00f6mmlichen Angriffen, die oft mehrere Schritte erfordern, ben\u00f6tigt DoubleClickjacking nur den Doppelklick des Opfers, um das Ziel zu erreichen. Das macht den Angriff besonders effektiv, da wir alle mit Doppelklicks auf Webanwendungen vertraut sind. Anstatt das Opfer also mit falschen Links oder unsichtbaren Schaltfl\u00e4chen zu t\u00e4uschen, nutzen die Angreifenden die gew\u00f6hnliche Benutzerinteraktion au. Mit minimalem Aufwand k\u00f6nnen die T\u00e4ter somit sensible Informationen stehlen oder schadhafte Aktionen ausl\u00f6sen.<\/p>\n Universelle Anwendbarkeit<\/strong><\/p>\n Laut einer Untersuchung von Yibelo, einem f\u00fchrenden Cybersicherheitsunternehmen, l\u00e4sst sich DoubleClickjacking auf nahezu jeder Webseite anwenden. Die Angreifer k\u00f6nnen diese Technik auf verschiedenen Plattformen und Anwendungen ausnutzen, da sie keine tiefgreifenden \u00c4nderungen an den Webseiten selbst erfordert. Durch das gezielte Ausnutzen der Benutzerschnittstellen und der gewohnten Interaktionsmuster sind viele Webseiten anf\u00e4llig f\u00fcr DoubleClickjacking. Automatische Manipulation<\/strong><\/p>\n Im Gegensatz zu Phishing-Angriffen, die eine explizite Interaktion und oft auch das Vertrauen des Opfers erfordern, agiert DoubleClickjacking automatisch und nutzt eine technische Schwachstelle aus, um das Ziel zu erreichen. Das Opfer bemerkt oft nicht einmal, dass es eine sicherheitsbedrohende Aktion, beispielsweise eine unbewusste Berechtigungsvergabe f\u00fcr schadhafte Programme oder das versehentliche Best\u00e4tigen von Transaktionen oder das Einschleusen von b\u00f6sartigem Code, ausgef\u00fchrt hat, bis es zu sp\u00e4t ist.<\/p>\n Sowohl Internet-Nutzer, Webseitenbetreiber als auch Browserhersteller k\u00f6nnen und m\u00fcssen Ma\u00dfnahmen ergreifen, um sich effektiv gegen DoubleClickjacking zu sch\u00fctzen. Jeder dieser Akteure kann durch bestimmte Vorkehrungen und Schutzma\u00dfanhmen dazu beitragen, das Risiko eines Angriffs erheblich zu reduzieren.<\/p>\n Bewusst mit Doppelklicks umgehen<\/strong><\/p>\n Zu den wichtigsten Schutzma\u00dfnahmen geh\u00f6rt ein bewussterer Umgang mit Doppelklicks. Da der Angriff genau zwischen den beiden Klicks agiert, sollten Sie sich angew\u00f6hnen, vor dem zweiten Klick kurz innezuhalten und die Webseite zu pr\u00fcfen. Hat sich der Inhalt unerwartet ge\u00e4ndert? Sind pl\u00f6tzlich neue Pop-ups aufgetaucht? Gibt es auff\u00e4llige Elemente, die nicht zur gewohnten Benutzeroberfl\u00e4che passen? Falls ja, ist Vorsicht geboten.<\/p>\n Auf verd\u00e4chtige Webseiten achten<\/strong><\/p>\n Wenn eine Website pl\u00f6tzlich einen Doppelklick verlangt, ohne dass dies \u00fcblich w\u00e4re, sollten Sie skeptisch werden. Vor allem dann, wenn es um sicherheitsrelevante Aktionen wie das Erteilen von Berechtigungen oder Zahlungen geht.<\/p>\n Die URL \u00fcberpr\u00fcfen<\/strong><\/p>\n Stellen Sie immer sicher, dass Sie sich tats\u00e4chlich auf der richtigen Webseite befinden, bevor Sie Berechtigungen erteilen. Cyberkriminelle nutzen oft t\u00e4uschend echt aussehende Kopien bekannter Seiten, um ihre Opfer in die Falle zu locken.<\/p>\nSo funktioniert DoubleClickjacking<\/h2>\n
Angriffszenarium: Konto\u00fcbernahme durch DoubleClickjacking<\/h3>\n
Warum ist DoubleClickjacking so gef\u00e4hrlich?<\/h3>\n
\nDa es keine spezifischen Anforderungen an die Art der Webseite gibt, k\u00f6nnen die Cyberkrminellen diese Methode auf beliebigen Seiten, von E-Commerce-Webseiten bis hin zu sozialen Netzwerken oder Finanzdiensten, anwenden.<\/p>\nSo k\u00f6nnen Sie sich vor DoubleClickjacking sch\u00fctzen<\/h2>\n
Schutzma\u00dfnahmen f\u00fcr Nutzer: Wachsamkeit und Aufmerksamkeit<\/h3>\n