Was ist Clickjacking?

Nur wenige Apps auf mobilen Geräten sind so sicher wie Banking-Software, doch selbst diese Apps geben bisweilen für Sie äußerst wertvolle und vertrauliche Informationen, wie etwa Anmelde- und Kontaktdaten, an Cyberkriminelle preis.

Clickjacking ermöglicht einen schnellen und unkomplizierten Diebstahl vertraulicher persönlicher Daten, beispielsweise mit der Anmeldung bei einer App. Malware wie Svpeng beweist die Wirksamkeit – und die Häufigkeit – dieser Art von Betrug.

Clickjacking ermöglicht einem Hacker, die auf dem Bildschirm Ihres Computers angezeigte Benutzeroberfläche mit einer unsichtbaren Ebene zu überlagern.

Sie geben ID und Passwort auf Ihrer Online-Banking-Website ein und glauben, nun die Benutzeroberfläche Ihrer Bank vor sich zu haben. In Wirklichkeit sehen Sie aber eine Nachbildung, die die tatsächlichen Informationen überlagert.

Die eingegebenen Anmeldedaten wurden nämlich nicht zur Überprüfung an die Bank gesendet, sondern an die Dateiserver von Cyberkriminellen weitergeleitet, um Ihre Kontozugangsdaten zu entwenden.

Profit mit Clickjacking

Im Juli 2017 berichtete Roman Unuchek, Senior Malware Analyst bei Kaspersky Lab, auf dem SecureList Blog, dass sich die Malware „Svpeng“ wie ein Lauffeuer ausbreitete. Svpeng tauchte zum ersten Mal 2013 auf, als die Bankdaten von Android-Benutzern gestohlen wurden. Nach dem Download der Malware auf ein mobiles Gerät konnten die Benutzerdaten abgefangen werden. Doch das war noch lange nicht alles.

Sobald die Malware Zugriff auf Administratorberechtigungen erlangte, konnte sie wählen, welche Oberfläche zur Überlagerung verwendet werden sollte, sowie SMS-Textnachrichten senden und empfangen, Anrufe tätigen und Kontakte lesen.

Die Malware sendete dann Screenshots sowie sämtliche vom Gerät gestohlenen Elemente zurück an einen Command-and-Control-Server, der von den Hackern betrieben wurde. Dazu zählten beispielsweise Kontakte, installierte Apps, Anrufprotokolle und SMS-Textnachrichten, was insofern besonders problematisch war, als dass Banken in der Regel per SMS-Textnachricht Prüfcodes an ihre Benutzer senden.

Laut Unuchek hatte sich Svpeng innerhalb einer einzigen Woche in 23 Ländern ausgebreitet.

Clickjacking passiert auf fast jeder Plattform

Android-Telefone scheinen zwar besonders anfällig für Clickjacking zu sein, aber die Betrugsmasche funktioniert auf jedem Gerät, das mit dem Internet verbunden ist: mobile Geräte, Tablets, Desktop-PCs und Laptops.

Mitte 2016 entfernte Google Werbeanzeigen mit transparenten Ebenen, die Millionen von Benutzern dazu verleiteten, auf Links zu klicken, die zu unerwünschten Websites führten. In vielen Fällen enthielten diese Websites Malware, Adware und sogar Spyware, die – teilweise ohne Wissen des Benutzers – heruntergeladen und installiert wurde.

Skrupellose Unternehmen können über Clickjack-Seiten 1-Click-Bestellungen von Amazon auslösen. Auf Social-Media-Plattformen wie Facebook geben sie Fake-Likes für Posts („Likejacking“ genannt) oder rekrutieren ahnungslose Follower auf Twitter. Clickjacker laden außerdem Malware herunter, die Benutzer dazu zwingt, auf unsichtbare Werbeanzeigen zu klicken, wie auf MarketingLand.com berichtet wird.

So können Sie sich vor Clickjacking schützen

Eine der häufigsten Arten, wie Clickjacking-Software auf Geräte gelangt, ist durch gezieltes Versenden von E-Mails. In einer Welt, in der Hacker bereits Milliarden von Kundenkonten mit Kontaktdaten gestohlen haben, kostet es Cyberkriminelle leider nur wenige Cent pro Konto, um diese Informationen zu kaufen. Die Wahrscheinlichkeit, dass Cyberkriminelle im Besitz von zumindest Ihrem E-Mail-Konto und dem Namen Ihres Bankinstituts sind, ist hoch.

Achten Sie auf E-Mails in Ihrem Posteingang, in denen behauptet wird, dass es um eine dringende Angelegenheit geht, die Ihrer Aufmerksamkeit bedarf. In Clickjacking-E-Mails werden Sie dazu aufgefordert, auf einen Link zu klicken, der beispielsweise zu einer Website führt, die haargenau wie die Website Ihrer Bank oder eine andere offizielle Website aussieht. Hier sollen Sie dann etwa die neueste Version der App des Unternehmens herunterladen oder Profilinformationen angeben.

Wenn das Ziel darin besteht, dass Sie eine App herunterladen, handelt es sich bei der App wahrscheinlich um Malware, die alle Ihre Anmeldeinformationen erfasst und stiehlt. In anderen Fällen kann die Website selbst die Quelle der Malware sein, die unbemerkt auf Ihrem Gerät landet. Unabhängig von der Vorgehensweise wird Ihr Bildschirm mit gefälschten Eingabe-Ebenen überlagert, auf denen Sie Informationen eingeben sollen.

Außerdem sollten Sie auf keinen Fall auf Werbeanzeigen auf Google oder Facebook klicken, die Ihnen das Blaue vom Himmel versprechen oder auf denen anscheinend sehr ungewöhnliche Nachrichten oder Berichte präsentiert werden. In einigen Fällen gelangen Sie per Klick auf diese Anzeigen zu einer Website, die Clickjacking-Software auf Ihren Computer herunterlädt. Suchen Sie stattdessen auf alternativen Kanälen, wie etwa bei einer seriösen und etablierten Zeitung, nach den jeweiligen Nachrichten. Wenn die Informationen wahr sind, wird es nicht schwer sein, an anderer Stelle entsprechende Berichte zu finden.

Laden Sie Apps stets über autorisierte App-Bibliotheken auf Geräte herunter. Diese Bibliotheken verfügen sowohl über Software-Agenten als auch über Mitarbeiter, die Malware beseitigen und für adäquate Inhalte sorgen. Es ist nicht immer einfach, gefälschte oder unsichtbare Schnittstellen zu erkennen, aber eine gesunde Portion Skepsis im Umgang mit allen Aspekten des Internets kann maßgeblich zu einer zufriedenstellenden Benutzererfahrung beitragen.

Weitere Artikel:

• Was ist Adware?
• Was ist ein Trojaner?
• Fakten und FAQs zu Computerviren und Malware
• Spam und Phishing

Weitere Produkte:

• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Anti-Virus
• Kaspersky Internet Security for Mac
• Kaspersky Internet Security for Android