Clickjacking: Wenn ein Klick den Betrug verbirgt
Marco ist ein großer Fußballfan. Jeden Tag verfolgt er Nachrichten über seine Lieblingsmannschaft auf verschiedenen Websites, von offiziellen Seiten bis zu Nischenseiten. Wahrscheinlich ist es der Moment des Tages, den er am meisten liebt, aber wird das immer so bleiben? Während einer seiner Websessions wird Marco von einem Link angezogen, der eine sensationelle Nachricht über seine Mannschaft meldet. Voller Euphorie klickt er darauf, und nichts passiert. “Wird ein Problem der Website sein”, denkt er. Aber nein. Einige Tage später erhält Marco eine E-Mail mit einem Foto von sich im Schlafanzug und der Nachricht: “Ich habe viele Fotos wie dieses, ich kann dich ausspionieren, aber wenn du mich bezahlst, höre ich auf”.(Clickjacking-Angriffe können den Zugriff auf Webcam und Mikrofon ermöglichen, indem sie Einstellungen der Adobe-Flash-Software ändern)
Wikipedia sagt: Während normaler Webnavigation klickt der Nutzer mit dem Mauszeiger auf ein Objekt (zum Beispiel einen Link), tatsächlich wird sein Klick jedoch ohne sein Wissen auf ein anderes Objekt umgeleitet. Typischerweise nutzt die Schwachstelle Javascript oder Iframes.
Pharming: Originalwebsite oder eigens erstellte Webseite?
Giuseppe verbringt viele Stunden vor dem PC, vor allem in sozialen Netzwerken. Er teilt gern Links, schaut Fotos von Freunden an, kommentiert die Fanpage seines Lieblingssängers und chattet mit seiner besseren Hälfte. Schade nur, dass Giuseppe erst 14 Jahre alt und etwas naiv ist. Während er surft, öffnet sich in seinem Browser eine Seite, die wie die Facebook-Startseite aussieht, aber nicht das echte Facebook ist. Giuseppe gibt seine Daten ein und meldet sich an: Im Handumdrehen besitzt der Angreifer Benutzernamen und Passwort des Kontos und erzeugt im Inneren mehr als peinliche Situationen...Wikipedia sagt: Pharming ist eine Cracking-Technik, die verwendet wird, um mit verschiedenen Zielen Zugang zu persönlichen und vertraulichen Informationen zu erhalten. Durch diese Technik wird der Nutzer getäuscht und dazu gebracht, Unbekannten unbewusst seine sensiblen Daten preiszugeben, etwa Kontonummer, Benutzername, Passwort, Kreditkartennummer usw.
Phishing: Wie Fische in die Falle des Angreifers gehen
Giovanni arbeitet als Krankenpfleger im Krankenhaus seiner Stadt. Sein Traum war immer, Menschen zu helfen, sie zu pflegen und in Notmomenten zu unterstützen. Seine Tage sind so intensiv, dass er nach den anstrengenden Arbeitsstunden zu Hause nur noch auf dem Bett liegen und in Ruhe seine E-Mails kontrollieren möchte. Eines Abends kommt eine E-Mail von der Post: “Wir überprüfen die Sicherheit der Konten unserer Kunden, geben Sie hier Ihre Zugangsdaten ein, wir prüfen, ob Ihr Konto sicher ist!”. Müdigkeit und Gedanken lassen Giovanni den schweren Betrug nicht erkennen, dem er entgegengeht. Er gibt die Daten ein und sein Konto verschwindet in kürzester Zeit.Wikipedia sagt: Es handelt sich um eine illegale Aktivität, die eine Social-Engineering-Technik ausnutzt: Durch den zufälligen Versand von E-Mails, die die Grafik von Banken- oder Post-Websites imitieren, versucht ein Angreifer, von Opfern das Passwort für das Girokonto, Passwörter zur Autorisierung von Zahlungen oder die Kreditkartennummer zu erhalten.
Moral der Geschichte
Marco muss einen aktualisierten Browser installieren, um nicht wieder in dieselbe Falle zu geraten. Merke: “Niemals Süßigkeiten von Fremden annehmen”Giuseppe muss sich einen guten Antivirus besorgen und auf jeder Website, auf der er persönliche Daten eingibt, prüfen, ob ein Sicherheitszertifikat bereitgestellt oder das HTTPS-Protokoll (http secure) verwendet wird.
Giovanni muss verstehen, dass keine Bank und auch nicht die Post jemals sensible Daten per E-Mail anfordern. Außerdem kann man bei genauer Beachtung des Links sehen, dass er sicher vom Original abweicht, wenn auch nur durch ein einziges Symbol!
Möchten Sie wissen, wie exponiert Ihre Website ist?
EasyAudit WEB prüft Websites, Portale und E-Commerce mit einem professionellen externen Audit für KMU.