Doch nun hat der Sicherheitsexperte Paulos Yibelo eine neue Art des Clickjacking namens DoubleClickjacking entdeckt, die das Timing von Doppelklicks ausnutzt und so die Nutzer austrickst. Dabei erstellt der Angreifer eine Webseite mit einer scheinbar harmlosen Schaltfläche, etwa „Hier klicken, um Ihre Belohnung zu sehen“ oder „Hier klicken, um den Film zu sehen“. Lässt sich der Besucher der Webseite darauf ein, wird ein neues Fenster erstellt, das die ursprünglich besuchte Webseite überlagert und einen weiteren Köder enthält, z. B. das Lösen eines Captcha, um fortzufahren. Das Captcha auf dem neuen, überlagerten Fenster fordert den Besucher nun auf, auf eine Schaltfläche auf der Seite doppelt zu klicken, um das Captcha zu lösen. Diese Seite wartet jedoch bereits auf das Mousedown-Ereignis und schließt, wenn es erkannt wird, schnell das Captcha-Overlay, so dass der zweite Klick auf der nun angezeigten Autorisierungsschaltfläche oder dem Link auf der zuvor verborgenen legitimen Seite landet. Dies führt dazu, dass der Benutzer fälschlicherweise auf die angezeigte Schaltfläche klickt und möglicherweise die Installation eines Plug-ins, die Verbindung einer OAuth-Anwendung mit seinem Konto oder die Bestätigung einer Aufforderung zur Multi-Faktor-Authentifizierung zulässt.
Das Gefährliche an dieser neuen Methode ist, dass sie alle derzeit üblichen Sicherheitsmaßnahmen gegen Clickjacking umgeht, da sie im Gegensatz zu den bisher beobachteten Kampagnen weder auf iframes setzt, um die legitime Webseite zu überlagern, noch versucht, Cookies auf eine andere Domain zu übertragen. Stattdessen finden alle Aktionen auf legitimen Webseiten statt, wodurch der Schutz ausgehebelt wird.
Laut Yibelo lässt sich DoubleClickjacking auf so gut wie jeder Webseite anwenden, was der Sicherheitsforscher eindrucksvoll demonstriert, indem er Accounts auf populären Webseiten wie Shopify, Slack und Salesforce auf diese Art übernimmt. Darüber hinaus warnt er davor, dass diese Art des Angriffs nicht nur auf Webseiten eingesetzt werden könnte, sondern auch zur Verbreitung von Browser-Extensions. Sogar Nutzer von mobilen Geräten könnten betroffen sein.
Um sich gegen diese Art von Angriffen zu schützen, hat Yibelo ein JavaScript zur Verfügung gestellt, das zu Webseiten hinzugefügt werden kann, um Schaltflächen vorrübergehend zu deaktivieren, bis eine Mausbewegung ausgeführt wird. Dadurch wird verhindert, dass der Doppelklick beim Entfernen des Overlays des Angreifers automatisch auf die Berechtigungsschaltfläche klickt. Der Forscher schlägt auch einen potenziellen HTTP-Header vor, der den schnellen Wechsel zwischen Fenstern während einer Doppelklicksequenz einschränkt oder blockiert.
Das Security Operations Center von 8com schützt die digitalen Infrastrukturen seiner Kunden effektiv vor Cyberangriffen. Dazu vereint 8com zahlreiche Managed Security Services wie Security Information and Event Management (SIEM), eXtended Detection and Response (XDR), Endpoint Detection and Response (EDR) mit Incident Response und Vulnerability Management unter einem Dach.
8com gehört zu den führenden Anbietern in Europa. Seit 20 Jahren ist das Ziel von 8com, Kunden bestmöglich vor Cyberangriffen zu schützen und gemeinsam ein ökonomisch sinnvolles, aber trotzdem hohes Informationssicherheitsniveau zu erzielen. Durch die einzigartige Kombination aus technischem Know-how und direkten Einblicken in die Arbeitsweisen von Cyberkriminellen können die Cyber-Security-Experten bei ihrer Arbeit auf fundierte Erfahrungswerte zurückgreifen.
Das Security Operations Center von 8com ist das einzige in der DACH-Region, das ISO 27001-zertifiziert ist auf Basis von BSI IT-Grundschutz.
8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Head of Communications
Telefon: +49 6321 484460
E-Mail: redaktion@8com.de
