Clickjacking für soziale Netze: Likejacking

Mehrere hundertausend Facebook-Anwender sollen einer Clickjacking-Attacke zum Opfer gefallen sein und auf einer präparierten Seite unbewußt auf einen versteckten "Gefällt mir"-Button ("Like") geklickt haben.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Mehrere hundertausend Facebook-Anwender sollen am vergangenen Wochende einer Clickjacking-Attacke zum Opfer gefallen sein und auf einer präparierten Seite unbewußt auf einen versteckten "Gefällt mir"-Button ("Like") geklickt haben. Das berichtet der Antivirenhersteller Sophos in seinem Blog.

In der Folge des Klicks erschien auf Facebook die Statusmeldung (beispielsweise "User Noob likes LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.") für den jeweiligen Nutzer, die auch andere Anwender sehen können. Klickte ein weiterer Anwender auf den Status-Link auf Facebook, landete er ebenfalls auf der Clickjacking-Seite – Sophos vergleicht die Verbreitung der Links mit einem Wurm und nennt den Angriff deshalb auch Clickjacking-Wurm. Einen ähnlichen Angriff gab es schon Anfang 2009 auf Twitter.

Für die Attacke luden die bislang Unbekannten den Facebook-Like-Button in einem unsichtbaren iFrame nach. Im Glauben, etwas auf der angezeigten Seite anzuklicken, klickten Anwender jedoch auf Elemente in dem durchsichtigen iFrame. Betroffenen Anwendern empfiehlt Sophos, im Facebook-Profil die dubiosen Seiten aus dem eigenen Newsfeed zu löschen. Was genau der Sinn dieser Clickjacking-Attacke war, ist unklar. Prinzipiell könnten Kriminelle auf diese Weise sehr schnell Links zu präparierten Webseiten verteilen, die den Besuchern Trojaner unterschieben.

Verhindern lassen sich solche Attacken, indem der Webserver der vertrauenswürdigen Seite den Header-Zusatz: "X-FRAME-OPTIONS: DENY" an den Browser sendet, um zu verhindern, dass die Seite (unsichtbar) in einem Frame dargestellt wird. Diese Option beherrschen jedoch nur die neuesten Browser wie Internet Explorer 8, Safari 4 oder Chrome 2. Firefox soll den Mechanismus erst in einer kommenden Version mitbringen.

Zwar gibt es immer wieder Hinweise, dass stark frequentierte Seiten wie facebook.com, googlemail.com oder twitter.com inzwischen gegen Clickjacking geschützt sind. Allerdings hat sich dies in der Praxis bislang nicht bestätigt. Vielmehr versuchen viele (in iFrames ausgelieferte) Seiten, sich über JavaScript gegen Clickjacking zu wehren. Selbstschutz bietet das NoScript-Plug-in für Firefox mit seiner ClearClick-Funktion.

Siehe dazu auch:

(dab)