Clickjacking begrijpen: de browsergebaseerde aanval die beveiligingen kan omzeilen om accounts over te nemen

Clickjacking is een vorm van hack waarbij nietsvermoedende mensen op links klikken waarvan ze denken dat ze onschadelijk zijn. Vervolgens wordt er malware gedownload, worden inloggegevens verzameld en worden online accounts overgenomen. Helaas kan clickjacking-malware de beveiliging omzeilen, maar er zijn manieren om uzelf te beschermen.

• Van DNS-kwetsbaarheden tot clickjacking

Wat is clickjacking?

Clickjacking, ook bekend als UI-redress-aanval, is een vorm van interface-gebaseerde aanval waarmee gebruikers worden gemanipuleerd om te klikken op knoppen of links die zich voordoen als iets anders.

In tegenstelling tot website-spoofing, waarbij het slachtoffer naar een nepwebsite wordt geleid die de website van een legitiem bedrijf nabootst, wordt de gebruiker bij clickjacking doorgestuurd naar de echte website. De aanvaller creëert echter een onzichtbare overlay over de legitieme website met behulp van HTML-hulpmiddelen zoals Cascading Style Sheets (CSS) en iframes.

Onzichtbare lagen worden gemaakt met behulp van iframe, een HTML-element waarmee u een webpagina of een HTML-document in een andere webpagina kunt insluiten. Het is transparant, dus het lijkt nog steeds alsof u met een legitieme website communiceert. Als u echter op een knop op een website klikt, een spel speelt of een taak uitvoert die u als ongevaarlijk beschouwt, worden deze klikken toegepast op de onzichtbare website bovenaan. Met deze klikken krijgen hackers toegang tot uw account, waardoor ze malware kunnen downloaden, de controle over uw apparaat kunnen overnemen en andere schadelijke activiteiten kunnen uitvoeren.

Soms doen aanvallers zich voor als marketeers om gebruikers ertoe te verleiden een pagina of bericht op sociale media leuk te vinden. Deze aanval heet likejacking. De aanvaller stuurt de gebruiker een interessante video of een "speciale aanbieding". Wanneer de gebruiker op "Afspelen" klikt of met de content interacteert, klikt de gebruiker per ongeluk op de verborgen vind-ik-leukknop.

Een andere vorm van clickjacking, cursor-jacking, houdt in dat gebruikers met een aangepaste cursor worden misleid om op links of onderdelen van een website te klikken waarmee de gebruiker helemaal geen interactie wil hebben.

Een geavanceerdere variant van clickjacking, ook wel double clickjacking genoemd, maakt misbruik van de timing en volgorde van dubbelklikken van gebruikers.

Omzeil antivirus- en browserbeveiliging

Mensen maken zich zorgen over clickjacking omdat het vaak anti-virus- en anti-malwaresoftware omzeilt. Omdat deze aanvallen plaatsvinden op betrouwbare websites en er niet altijd iets wordt gedownload, worden ze mogelijk niet gedetecteerd door traditionele antivirussoftware.

De meeste browsers beschikken over ingebouwde beveiliging, maar zoals we allemaal weten, zijn hackers altijd op zoek naar nieuwe manieren om gebruikers online te misleiden. De meeste basis clickjacking-aanvallen worden effectief geblokkeerd, maar dubbele clickjacking-aanvallen niet.

In plaats van dat er bij de eerste klik iets schadelijks gebeurt, plaatst de code van de aanvaller een gekaapte overlay voordat u wordt aangezet om een ​​tweede keer te klikken. Dit kan in de vorm van een eenvoudige dubbelklik om de actie te bevestigen of een vervelende CAPTCHA. Bij de tweede klik installeert u mogelijk onbedoeld een plug-in en geeft u de aanvaller toegang tot uw account.

Momenteel detecteren browsers deze complexere versie mogelijk niet, omdat deze geen gebruikmaakt van de gebruikelijke iframe-instellingen. Hierdoor loopt u een groot risico om slachtoffer te worden van clickjacking. Dit geldt niet alleen voor desktopbrowsers; Ook mobiele gebruikers worden benaderd met prompts die met twee tikken kunnen worden weergegeven.

Hoe doublejacking de clickjacking-bescherming omzeilt

Veel moderne webbrowsers beschikken over beveiligingsmaatregelen tegen clickjacking. Er bestaat echter een geavanceerde versie, genaamd ‘double clickjacking’, die de traditionele beveiliging kan omzeilen door de volgorde tussen twee klikken te misbruiken om accounts over te nemen of ongeautoriseerde acties uit te voeren.

Bij een double clickjacking-aanval worden schadelijke elementen ingevoegd tussen de eerste en tweede klik van de gebruiker. Eerst wordt u doorgestuurd naar een website die wordt beheerd door de aanvaller. Daar krijgt u een prompt te zien, zoals het oplossen van een CAPTCHA of het dubbelklikken op een knop om een ​​actie te autoriseren. Met de eerste klik sluit of verandert u het bovenste venster (overlay CAPTCHA), waardoor u met de tweede klik naar de eerder verborgen autorisatieknop of -link gaat. Met de tweede klik autoriseert u de schadelijke plug-in, waardoor de OAuth-app verbinding maakt met uw account of de prompt voor multifactorauthenticatie goedkeurt.

Wat u kunt doen om uzelf te beschermen

Clickjackingtechnieken zijn geavanceerd en bedoeld om u te misleiden en uw kliks te stelen. Toch kunt u een aantal dingen doen om uzelf te beschermen.

• Zorg ervoor dat uw apparaten en browsers altijd up-to-date zijn. Besteed aandacht aan beveiligingspatches en software-updates en installeer deze zodra ze beschikbaar zijn. Technici brengen regelmatig patches uit om beveiligingsproblemen op te lossen en gebruikers te beschermen tegen nieuwe aanvallen.
• Wees op uw hoede voor dubbelklikmeldingen, vooral op websites die u niet kent.
• Controleer altijd de URL's van de websites die u bezoekt. Aanvallers kunnen typosquattingtechnieken gebruiken om legitieme versies van domeinen te kopen die maar heel kleine verschillen hebben, zoals het toevoegen van een "a" of een koppelteken aan het domein, zoals "ama-zon.com".
• Klik niet op links als u niet zeker bent van de bron. U kunt een sitelinkchecker gebruiken om te controleren of de link veilig is.

Aanvallers maken vaak misbruik van uw vertrouwen in legitieme websites en van eenvoudige handelingen die we vaak onnadenkend uitvoeren, zoals dubbelklikken. Bescherm uzelf door altijd even stil te staan ​​en na te denken voordat u klikt.